最近,通过将Netware迁移到Windows文件服务器,我们最终创build了一个AD组。 现在我们遇到了一些authentication和获取资源的问题。
经过一些初步的故障排除之后,我们发现Domain Admins是最多的组(397最近的一次)和Kerberos票据大小已超过12000字节(13783)(事件ID 6)的成员。 我发现下面的文章似乎确切地描述了发生了什么,并提出了一些解决方法:
http://blogs.technet.com/b/surama/archive/2009/04/06/kerberos-authentication-problem-with-active-directory.aspx
目的是在registry中将MaxTokenSize限制提高到65535。 但是,我不能find什么影响会有什么讨论? 长远来说,目标是合理化团队的数量,但短期来看,这似乎是一个修复。 过去有没有人有过这方面的经验,有没有什么警告我们应该知道在这个变化之前呢?
我们目前正在运行Server 2008域和林function级别,所有数据中心都是64位虚拟机。
更新:所以多读一读后,我可以看到在Server 2012默认设置为48000的MaxTokenSize。 这看起来像是我们采取的明智select。 有一件事我似乎无法find信息仍然是用户有更大的令牌的可能的影响。 有一些build议,这将增加IIS服务器上的内存使用情况,但有谁知道这是否会在DC和成员服务器(即32位Citrix服务器等)的情况下?
很多组织很早以前就把它设置为65535。 有很多微软公司推荐的文章。 以前的build议是10万,直到微软意识到价值无效,他们纠正了65535。
如果对IIS网站(如SharePoint)使用集成的Windows身份validation,则大标记可能导致身份validation失败。 这可以通过增加http.sys服务的MaxRequestBytes值来轻松解决。 这是由于具有组的Kerberos令牌包含在每个http请求中。 还有一个IIS设置可以提高集成身份validation的性能,以便只有第一个请求需要进行身份validation。
我build议审查你的小组,并将其转换成分发小组,除非他们绝对需要成为一个安全小组。 即使最大令牌大小为65535,也可能有一个帐户成为许多组的成员,从而无法login。
这是最大令牌大小。 令牌只会在需要时消耗多less内存。 这并不意味着所有的Kerberos令牌总是48000字节。
这个问题通常只在拥有多个安全组的大型企业中发现,这些企业已经积累了多年。
在Windows2012中,用户帐户可以属于的组数有一个新的硬限制:1,015。
如果您看到kerberos令牌膨胀问题,请检查DOMAIN USERS组已嵌套到的组数。 这是一个不好的做法。
尝试删除DOMAIN USERS成为所有不必要的组的成员。
这里有一个很好的参考文章: https : //blogs.technet.microsoft.com/shanecothran/2010/07/16/maxtokensize-and-kerberos-token-bloat/