我昨天修正了一个2008 R2机器不想和DC通信的问题。 我在事件日志中发现了与kerberos缓冲区有关的警告,于是我增加了registry的大小,并重新启动了服务器,问题解决了。 问题是,我无法从2008 R2机器(不是DC)打开ADUC,并获得拒绝访问的消息。
但是,现在我正在考虑未来。 我知道2012年的缓冲区大小增加到了48K,但是对于用户可以join的最大群体来说,这是怎么翻译的呢?
我想提前计划,而不是再次发生这个问题,所以这就是为什么我问。
在我的公元,我有很多团体,还有很多团体的嵌套。 我已经阅读了关于使用LDAP的一些东西,所以你不会用巨大的查询来杀死你的AD。 有人可以详细说明这一点吗?
活动目录:用户不能超过1015个组。
http://markparris.co.uk/category/microsoft/active-directory/troubleshooting/
在任何Microsoft Active Directory林中,用户只能有1024个组的成员,但在允许多达9个众所周知的SIDS之后,该数字实际上是1015.请参阅知识库http://support.microsoft.com/kb/328889
实际上MaxTokenSize的最大值是65535,已经有很多年了。 这是在Windows Server 2012中增加到48K的默认值。
在您的默认域策略中创buildregistry策略首选项,并将其设置为65535。
Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters Value: MaxTokenSize Value Type: REG_DWORD Value Data: 65535 (decimal) 0xFFFF (hex) 估算令牌大小:
每个域本地组40个字节,sidHistory条目,userSID,用户的主要组,其域之外的通用安全组
如果将帐户configuration为“受信任委派”,则将* 2(双倍)令牌大小乘以。
从Windows Server 2012开始,域控制器可以执行SID压缩,这将进一步缩小令牌的大小。 这也使得计算更加困难。