我能够在login到Windows XP或Windows Server 2003计算机时使用Active Directory用户和计算机mmc连接到域控制器,但在任何Windows 7上尝试连接到同一台服务器时,会出现拒绝访问错误。
另外两名IT员工也有同样的问题。 在XP上,我们每个人都没有问题,只是Windows 7,不pipe是哪台Windows 7电脑(因为我们尝试了多台机器)。
我们发现问题在于我们的帐户属于太多Active Directory组和Kerberos令牌大小。 需要创buildregistry项以将Kerberos固定标记大小限制从12000增加到65535。
此Technet论坛post讨论了这个问题,这个Microsoft知识库文章详细解释了这个问题。
需要registry修复:
启动registry编辑器(Regedt32.exe)
find并在registrySystem \ CurrentControlSet \ Control \ Lsa \ Kerberos \ Parameters中单击以下registry项
如果此键不存在,请创build密钥。 要做到这一点:
一个。 在registry中单击以下项:
系统\ CurrentControlSet \控制\ LSA \ Kerberos的
湾 在编辑菜单上,单击添加项
C。 创build一个参数键
d。 点击新的参数键
在编辑菜单上单击添加值,然后添加以下registry值值名称: MaxTokenSize
数据types: REG_DWORD
基数: 小数
价值数据: 65535
退出registry编辑器