web-dev-qa-db-ja.com

Server 2012R2およびグループのMaxTokenSize

昨日、2008R2マシンがDCと通信したくないという問題を修正しました。 Kerberosバッファーに関連するイベントログで警告を発見したので、レジストリのサイズを増やしてサーバーを再起動しました。問題は解決しました。問題は、2008 R2マシン(DCではない)からADUCを開くことができず、アクセス拒否メッセージが表示されることでした。

しかし、今は将来を考えています。 2012年にバッファサイズが48kに増加したことは知っていますが、ユーザーがメンバーになることができる最大グループに関して、これはどのように変換されますか?

事前に計画を立てて、この問題が二度と起こらないようにしたいので、それが私が尋ねる理由です。

私のADには、[〜#〜] lot [〜#〜]のグループがあり、グループのネストも多数あります。 LDAPの使用について何か読んだので、巨大なクエリでADを強制終了することはありません。誰かがこれについても詳しく説明してもらえますか?

active-directorywindows-server-2012-r2kerberos
2
Michael

Active Directory:ユーザーは1015を超えるグループに属することはできません。

http://markparris.co.uk/category/Microsoft/active-directory/troubleshooting/

どのMicrosoftActive Directoryフォレストでも、ユーザーは1024グループのメンバーしかできませんが、最大9つの既知のSIDSを許可した後、この数は実際には1015になります。KB http://support.Microsoft.com/kb/を参照) 328889

1
markparris

実際、MaxTokenSizeの最大値は65,535であり、長年にわたって使用されています。これは、Windows Server 2012で48kに増加したdefault値です。

デフォルトのドメインポリシーでレジストリポリシー設定を作成し、65535に設定します。

Key:  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters  
Value: MaxTokenSize  
Value Type: REG_DWORD  
Value Data: 65535 (decimal) 0xFFFF (hex)

http://blogs.technet.com/b/shanecothran/archive/2010/07/16/maxtokensize-and-kerberos-token-bloat.aspx

トークンサイズの見積もり:

  • 1400バイトのオーバーヘッド:(DNSドメイン名、クライアント名、セキュリティパッケージによって異なります)
  • よく知られている組み込みのセキュリティ識別子(全員、ユーザー、ネットワークなど)ごとに8バイト
  • グローバルセキュリティグループごとに8バイト、ドメイン内のユニバーサルセキュリティグループ

  • ドメインローカルグループ、sidHistoryエントリ、userSID、ユーザーのプライマリグループ、ドメイン外のユニバーサルセキュリティグループごとに40バイト

  • アカウントが「委任のために信頼されている」ように構成されている場合は、トークンサイズの* 2(2倍)を掛けます。

Windows Server 2012以降、ドメインコントローラーはSID圧縮を実行できるようになり、トークンのサイズがさらに削減されます。これはまた、計算をより困難にします。

http://blogs.technet.com/b/askds/archive/2012/09/12/maxtokensize-and-windows-8-and-windows-server-2012.aspx

0
Greg Askew