Durch die Migration von Netware auf Windows-Dateiserver haben wir kürzlich eine ganze Menge AD-Gruppen erstellt. Jetzt sind wir auf einige Probleme bei der Authentifizierung und dem Zugriff auf Ressourcen gestoßen.
Nach einigen anfänglichen Fehlerbehebungen sind wir zu dem Schluss gekommen, dass Domänenadministratoren Mitglied in zu vielen Gruppen sind (397 bei der letzten Zählung) und dass die Größe des Kerberos-Tickets 12.000 Bytes überschritten hat (ist 13.783) (Ereignis-ID 6). Ich habe den folgenden Artikel gefunden, der genau zu beschreiben scheint, was passiert ist, und einige Vorschläge zur Behebung des Problems enthält:
Das Ziel ist, das MaxTokenSize-Limit in der Registrierung auf 65535 zu erhöhen. Ich kann jedoch keine Diskussion darüber finden, welche Auswirkungen dies haben wird. Langfristig besteht das Ziel darin, die zunehmende Anzahl von Gruppen zu rationalisieren, aber kurzfristig scheint dies eine Lösung zu sein. Hat jemand in der Vergangenheit damit Erfahrungen gemacht und gibt es irgendwelche Vorbehalte, die wir kennen sollten, bevor wir diese Änderung einführen?
Wir führen derzeit Server 2008 auf Domänen- und Gesamtstrukturfunktionsebene aus, wobei alle DCs 64-Bit-VMs sind.
UPDATE: Nachdem ich mich ein bisschen genauer damit befasst habe, kann ich sehen, dass in Server 2012 der Standardwert für MaxTokenSize auf 48000 eingestellt ist. Das scheint eine sinnvolle Option für uns zu sein. Eine Sache, zu der ich immer noch keine Informationen finden kann, ist die wahrscheinliche Auswirkung, wenn Benutzer größere Token haben. Es gibt Hinweise darauf, dass dies den Speicherverbrauch auf IIS-Servern erhöhen wird, aber weiß jemand, ob dies auch auf DCs und Mitgliedsservern (z. B. 32-Bit-Citrix-Servern usw.) der Fall sein wird?
Antwort1
Viele Organisationen haben diesen Wert schon vor langer Zeit auf 65535 festgelegt. Es gibt zahlreiche Microsoft-KB-Artikel, die dies empfehlen. Zuvor lag die Empfehlung bei 100.000, bis Microsoft erkannte, dass dieser Wert nicht funktionierte, und ihn auf 65535 korrigierte.
Wenn Sie die integrierte Windows-Authentifizierung mit IIS-Websites (z. B. SharePoint) verwenden, können große Token zu einer fehlgeschlagenen Authentifizierung führen. Dies lässt sich leicht beheben, indem Sie den Wert für MaxRequestBytes für den http.sys-Dienst erhöhen. Dies liegt daran, dass das Kerberos-Token mit Gruppen in jede HTTP-Anforderung eingefügt wird. Es gibt auch eine IIS-Einstellung, die die Leistung der integrierten Authentifizierung verbessern kann, sodass nur die erste Anforderung authentifiziert werden muss.
Ich würde Ihnen raten, Ihre Gruppen zu überprüfen und einige davon in Verteilergruppen umzuwandeln, sofern sie nicht unbedingt als Sicherheitsgruppe erforderlich sind. Selbst bei einer maximalen Tokengröße von 65535 kann ein Konto Mitglied in so vielen Gruppen sein, dass es sich nicht anmelden kann.
Antwort2
Das istMaxTokengröße. Das Token verbraucht nur so viel Speicher, wenn es nötig ist. Das bedeutet nicht, dass ALLE Kerberos-Token immer 48.000 Byte groß sind.
Dieses Problem tritt normalerweise nur in großen Unternehmen mit vielen Sicherheitsgruppen auf, die sich über die Jahre angesammelt haben.
In Windows 2012 gibt es eine neue feste Grenze für die Anzahl der Gruppen, denen ein Benutzerkonto angehören kann: 1.015.
Wenn Sie Probleme mit aufgeblähten Kerberos-Tokens feststellen, überprüfen Sie, in wie vielen Gruppen die Gruppe DOMAIN USERS verschachtelt wurde. Das ist keine gute Vorgehensweise.
Versuchen Sie, DOMAIN-BENUTZER aus allen nicht benötigten Gruppen zu entfernen.
Hier ist ein guter Artikel als Referenz: https://blogs.technet.microsoft.com/shanecothran/2010/07/16/maxtokensize-and-kerberos-token-bloat/