Назад | Перейти на главную страницу

MaxTokenSize в Server 2012 R2 и группах

Вчера я исправил проблему, из-за которой компьютер 2008 R2 не хотел связываться с контроллером домена. Я обнаружил в журнале событий предупреждения, относящиеся к буферу Kerberos, поэтому я увеличил размер в реестре и перезагрузил сервер, вуаля, проблема решена. Проблема заключалась в том, что мне не удалось открыть ADUC с компьютера 2008 R2 (который НЕ является контроллером домена), и я получил сообщения об отказе в доступе.

Однако сейчас я думаю о будущем. Я знаю, что размер буфера был увеличен до 48 КБ на 2012 год, но как это соотносится с максимальным количеством групп, в которые могут входить пользователи?

Я бы хотел спланировать заранее, чтобы эта проблема не повторилась, поэтому я спрашиваю.

В моем AD у меня есть МНОГО групп, а также много групповых вложений. Я кое-что читал об использовании LDAP, поэтому вы не убиваете свою AD огромными запросами. Может ли кто-нибудь подробнее рассказать об этом?

Active Directory: пользователь не может входить более чем в 1015 групп.

http://markparris.co.uk/category/microsoft/active-directory/troubleshooting/

В любом лесу Microsoft Active Directory пользователь может быть членом только 1024 групп, но после разрешения до 9 хорошо известных SIDS это число фактически равно 1015. См. KB http://support.microsoft.com/kb/328889

На самом деле максимальное значение MaxTokenSize составляет 65 535, и так было много лет. Это дефолт значение, которое было увеличено до 48 КБ в Windows Server 2012.

Создайте предпочтение политики реестра в политике домена по умолчанию и установите для него значение 65535. 

Key:  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters  
Value: MaxTokenSize  
Value Type: REG_DWORD  
Value Data: 65535 (decimal) 0xFFFF (hex)

http://blogs.technet.com/b/shanecothran/archive/2010/07/16/maxtokensize-and-kerberos-token-bloat.aspx

Примерный размер токена:

  • 1400 байт накладных расходов: (зависит от имени домена DNS, имени клиента, пакета безопасности)
  • 8 байтов для каждого хорошо известного встроенного идентификатора безопасности (все, пользователи, сеть и т. Д.)
  • 8 байтов для каждой глобальной группы безопасности, универсальная группа безопасности в своем домене

  • 40 байт для каждой локальной группы домена, запись sidHistory, userSID, основная группа пользователя, универсальная группа безопасности за пределами их домена

  • Умножьте это * 2 (удвойте) размер токена, если учетная запись настроена на «доверенную для делегирования».

Начиная с Windows Server 2012, контроллер домена может выполнять сжатие SID, что еще больше уменьшит размер токена. Это также усложняет расчет.

http://blogs.technet.com/b/askds/archive/2012/09/12/maxtokensize-and-windows-8-and-windows-server-2012.aspx