Recientemente, al migrar de Netware a servidores de archivos de Windows, terminamos creando una gran cantidad de grupos AD. Ahora nos hemos encontrado con algunos problemas con la autenticación y el acceso a los recursos.
Después de una solución inicial de problemas, llegamos al hecho de que los administradores de dominio son miembros de demasiados grupos (397 en el recuento más reciente) y el tamaño del ticket Kerberos ha superado los 12000 bytes (es 13783) (ID de evento 6). Encontré el siguiente artículo que parece describir exactamente lo que sucedió y algunas sugerencias sobre cómo solucionarlo:
El objetivo es aumentar el límite de MaxTokenSize a 65535 en el registro. Sin embargo, no puedo encontrar ninguna discusión sobre cuál será el impacto de esto. A largo plazo, el objetivo es racionalizar el aumento del número de grupos, pero a corto plazo esto parece una solución. ¿Alguien ha tenido alguna experiencia con esto en el pasado? ¿Hay alguna advertencia que debamos tener en cuenta antes de implementar este cambio?
Actualmente estamos ejecutando el nivel de función de bosque y dominio de Server 2008 y todos los controladores de dominio son máquinas virtuales de 64 bits.
ACTUALIZACIÓN: Después de leer un poco más sobre esto, puedo ver que en Server 2012 el valor predeterminado está configurado en 48000 para MaxTokenSize. Esta parece una opción sensata que debemos adoptar. Una cosa sobre la que todavía no puedo encontrar información es el probable impacto de que los usuarios tengan tokens más grandes. Hay alguna sugerencia de que esto aumentará el uso de memoria en los servidores IIS, pero ¿alguien sabe si este será el caso en los DC y los servidores miembros (es decir, servidores Citrix de 32 bits, etc.)?
Respuesta1
Muchas organizaciones establecieron este valor en 65535 hace mucho tiempo. Hay muchos artículos de Microsoft kb que recomiendan esto. Anteriormente, la recomendación era 100.000 hasta que Microsoft se dio cuenta de que el valor no funcionaba y lo corrigieron a 65535.
Si utiliza la autenticación de Windows integrada con sitios web IIS (como SharePoint), los tokens grandes pueden provocar una autenticación fallida. Esto se resuelve fácilmente aumentando el valor de MaxRequestBytes para el servicio http.sys. Esto se debe a que el token Kerberos con grupos se incluye en cada solicitud http. También hay una configuración de IIS que puede mejorar el rendimiento de la autenticación integrada de modo que solo sea necesario autenticar la primera solicitud.
Le recomendaría revisar sus grupos y convertir algunos en grupos de distribución, a menos que sea absolutamente necesario que sean un grupo de seguridad. Incluso con un tamaño máximo de token de 65535, es posible que una cuenta sea miembro de tantos grupos que no pueda iniciar sesión.
Respuesta2
Esto esmáx.tamaño de la ficha. El token solo consumirá esa cantidad de memoria si es necesario. No significa que TODOS los tokens de Kerberos siempre tendrán 48000 bytes.
Este problema normalmente sólo se encuentra en grandes empresas con muchos grupos de seguridad, que se han ido acumulando durante años.
En Windows 2012, hay un nuevo límite estricto para la cantidad de grupos a los que puede pertenecer una cuenta de usuario: 1015.
Si observa problemas de hinchazón de tokens de Kerberos, verifique en cuántos grupos se ha anidado el grupo USUARIOS DE DOMINIO. Esa es una mala práctica.
Intente eliminar a los USUARIOS DEL DOMINIO de ser miembros de todos los grupos innecesarios.
Aquí hay un buen artículo como referencia: https://blogs.technet.microsoft.com/shanecothran/2010/07/16/maxtokensize-and-kerberos-token-bloat/