最近,通过将Netware迁移到
Windows文件服务器,我们最终创建了一组AD组.我们现在遇到了一些身份验证和获取资源访问权限的问题.
经过一些初步的故障排除后,我们发现Domain Admins是太多组的成员(最近计数为397),Kerberos Ticket大小超过12000字节(为13783)(事件ID 6).我发现以下文章似乎准确描述了发生了什么以及如何解决它的一些建议:
目的是在注册表中将MaxTokenSize限制提高到65535.但是我找不到关于这会产生什么影响的讨论?长期目标是使群体数量的蠕变合理化,但短期内这似乎是一个解决方案.过去有没有人对此有过任何经验,在推出此更改之前,我们应该注意哪些警告?
我们目前正在运行Server 2008域和林功能级别,所有DC都是64位VM.
更新:所以经过多一点阅读后,我可以看到Server 2012默认设置为MaxTokenSize的48000.这对我们来说似乎是一个明智的选择.我似乎无法找到有关信息的一件事是用户拥有更大代币的可能影响.有人建议这会增加IIS服务器上的内存使用量,但是有人知道DC和成员服务器(即32位Citrix服务器等)是否会出现这种情况?
许多组织很久以前将其设置为65535.有很多Microsoft kb文章推荐这个.之前的建议是100,000,直到微软意识到价值不起作用,他们将此更正为65535.
如果对IIS网站(例如SharePoint)使用集成Windows身份验证,则大型令牌可能导致身份验证失败.通过增加http.sys服务的MaxRequestBytes值可以很容易地解决这个问题.这是因为每个http请求中都包含带有组的Kerberos令牌.还有一个IIS设置可以提高集成身份验证的性能,以便只需要对第一个请求进行身份验证.
我会建议您检查您的组并将其转换为通讯组,除非他们绝对需要成为安全组.即使最大令牌大小为65535,帐户也可能成为无法登录的众多组的成员.
