经过一些初步的故障排除后,我们发现Domain Admins是太多组的成员(最近计数为397),Kerberos Ticket大小超过12000字节(为13783)(事件ID 6).我发现以下文章似乎准确描述了发生了什么以及如何解决它的一些建议:
目的是在注册表中将MaxTokenSize限制提高到65535.但是我找不到关于这会产生什么影响的讨论?长期目标是使群体数量的蠕变合理化,但短期内这似乎是一个解决方案.过去有没有人对此有过任何经验,在推出此更改之前,我们应该注意哪些警告?
我们目前正在运行Server 2008域和林功能级别,所有DC都是64位VM.
更新:所以经过多一点阅读后,我可以看到Server 2012默认设置为MaxTokenSize的48000.这对我们来说似乎是一个明智的选择.我似乎无法找到有关信息的一件事是用户拥有更大代币的可能影响.有人建议这会增加IIS服务器上的内存使用量,但是有人知道DC和成员服务器(即32位Citrix服务器等)是否会出现这种情况?
如果对IIS网站(例如SharePoint)使用集成Windows身份验证,则大型令牌可能导致身份验证失败.通过增加http.sys服务的MaxRequestBytes值可以很容易地解决这个问题.这是因为每个http请求中都包含带有组的Kerberos令牌.还有一个IIS设置可以提高集成身份验证的性能,以便只需要对第一个请求进行身份验证.
我会建议您检查您的组并将其转换为通讯组,除非他们绝对需要成为安全组.即使最大令牌大小为65535,帐户也可能成为无法登录的众多组的成员.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。