최근 Netware를 Windows 파일 서버로 마이그레이션하여 AD 그룹의 보트 로드를 생성하게 되었습니다. 이제 리소스를 인증하고 액세스하는 데 몇 가지 문제가 발생했습니다.
몇 가지 초기 문제 해결 후에 우리는 Domain Admins가 너무 많은 그룹(최근 개수에서는 397개)의 구성원이고 Kerberos 티켓 크기가 12000바이트(13783)를 초과했다는 사실을 알게 되었습니다(이벤트 ID 6). 발생한 문제와 해결 방법에 대한 몇 가지 제안 사항을 정확하게 설명하는 다음 기사를 찾았습니다.
목표는 레지스트리에서 MaxTokenSize 제한을 65535로 높이는 것입니다. 그러나 이것이 어떤 영향을 미칠지에 대한 논의는 찾을 수 없습니다. 장기적으로 목표는 그룹 수의 증가를 합리화하는 것이지만 단기적으로는 이것이 수정된 것처럼 보입니다. 과거에 이와 관련된 경험이 있는 사람이 있습니까? 이 변경 사항을 적용하기 전에 알아야 할 주의 사항이 있습니까?
우리는 현재 모든 DC가 64비트 VM인 Server 2008 도메인 및 포리스트 기능 수준을 실행하고 있습니다.
업데이트: 이에 대해 조금 더 읽은 후에는 Server 2012에서 MaxTokenSize에 대해 기본값이 48000으로 설정되어 있음을 알 수 있습니다. 이는 우리가 채택할 수 있는 합리적인 선택인 것 같습니다. 아직 정보를 찾을 수 없는 것 중 하나는 사용자가 더 큰 토큰을 보유할 경우 영향을 미칠 수 있다는 것입니다. 이로 인해 IIS 서버의 메모리 사용량이 증가할 것이라는 제안이 있지만 이것이 DC 및 구성원 서버(예: 32비트 Citrix 서버 등)에 해당되는지 아는 사람이 있습니까?
답변1
많은 조직에서는 오래 전에 이를 65535로 설정했습니다. 이를 권장하는 Microsoft KB 기사가 많이 있습니다. 이전에는 Microsoft가 값이 작동하지 않는다는 것을 깨닫기 전까지 권장 사항은 100,000이었고 이를 65535로 수정했습니다.
IIS 웹 사이트(예: SharePoint)에서 Windows 통합 인증을 사용하는 경우 토큰이 크면 인증이 실패할 수 있습니다. 이는 http.sys 서비스에 대한 MaxRequestBytes 값을 늘리면 쉽게 해결됩니다. 이는 각 http 요청에 그룹이 포함된 Kerberos 토큰이 포함되어 있기 때문입니다. 첫 번째 요청만 인증하도록 통합 인증 성능을 향상시킬 수 있는 IIS 설정도 있습니다.
보안 그룹이 반드시 필요한 경우가 아니면 그룹을 검토하고 일부 그룹을 배포 그룹으로 변환하는 것이 좋습니다. 최대 토큰 크기가 65535인 경우에도 계정이 로그온할 수 없을 정도로 많은 그룹의 구성원이 될 수 있습니다.
답변2
이것은맥스토큰 크기. 토큰은 필요한 경우에만 그만큼의 메모리를 소비합니다. 이는 모든 Kerberos 토큰이 항상 48000바이트라는 의미는 아닙니다.
이 문제는 일반적으로 수년간 누적된 보안 그룹이 많은 대기업에서만 발견됩니다.
Windows2012에는 사용자 계정이 속할 수 있는 그룹 수에 대한 새로운 하드 제한이 있습니다: 1,015.
Kerberos 토큰 팽창 문제가 발생하는 경우 DOMAIN USERS 그룹이 중첩된 그룹 수를 확인하세요. 그것은 나쁜 습관입니다.
모든 불필요한 그룹의 구성원이 되는 DOMAIN USERS를 제거해 보십시오.
참고할 수 있는 좋은 기사는 다음과 같습니다. https://blogs.technet.microsoft.com/shanecothran/2010/07/16/maxtokensize-and-kerberos-token-bloat/