Recentemente, ao migrar do Netware para servidores de arquivos do Windows, acabamos criando um barco carregado de grupos AD. Agora enfrentamos alguns problemas com autenticação e acesso a recursos.
Após algumas soluções de problemas iniciais, chegamos ao fato de que os administradores de domínio são membros de muitos grupos (397 na contagem mais recente) e o tamanho do tíquete Kerberos ultrapassou 12.000 bytes (é 13.783) (ID do evento 6). Encontrei o seguinte artigo que parece descrever exatamente o que aconteceu e algumas sugestões sobre como corrigi-lo:
O objetivo é aumentar o limite MaxTokenSize para 65535 no registro. No entanto, não consigo encontrar nenhuma discussão sobre qual será o impacto disso. A longo prazo, o objectivo é racionalizar o aumento do número de grupos, mas a curto prazo isto parece ser uma solução. Alguém já teve alguma experiência com isso no passado e há alguma advertência que devemos estar cientes antes de implementar essa mudança?
Atualmente, estamos executando o nível de domínio e função florestal do Server 2008, com todos os DCs sendo VMs de 64 bits.
ATUALIZAÇÃO: Depois de ler um pouco mais sobre isso, posso ver que no Server 2012 o padrão é definido como 48000 para MaxTokenSize. Esta parece ser uma opção sensata para adotarmos. Uma coisa sobre a qual ainda não consigo encontrar informações é o provável impacto dos usuários terem tokens maiores. Há alguma sugestão de que isso aumentará o uso de memória em servidores IIS, mas alguém sabe se esse será o caso em controladores de domínio e servidores membros (ou seja, servidores Citrix de 32 bits, etc.)?
Responder1
Muitas organizações definiram isso como 65.535 há muito tempo. Existem muitos artigos da Microsoft KB que recomendam isso. Anteriormente, a recomendação era 100.000, até que a Microsoft percebeu que o valor não funcionava e corrigiu para 65.535.
Se você usar a autenticação integrada do Windows com sites do IIS (como o SharePoint), tokens grandes poderão resultar em falha na autenticação. Isso é facilmente resolvido aumentando o valor de MaxRequestBytes para o serviço http.sys. Isso ocorre porque o token Kerberos com grupos está incluído em cada solicitação http. Há também uma configuração do IIS que pode melhorar o desempenho da autenticação integrada, de modo que apenas a primeira solicitação precise ser autenticada.
Aconselho revisar seus grupos e converter alguns em grupos de distribuição, a menos que seja absolutamente necessário que sejam um grupo de segurança. Mesmo com um tamanho máximo de token de 65.535, é possível que uma conta seja membro de tantos grupos que não consiga fazer logon.
Responder2
Isso éMáx.tamanho do token. O token consumirá apenas essa quantidade de memória, se necessário. Isso não significa que TODOS os tokens Kerberos sempre terão 48.000 bytes.
Este problema normalmente só é encontrado em grandes empresas com muitos grupos de segurança, que vêm se acumulando há anos.
No Windows2012, há um novo limite rígido para o número de grupos a que uma conta de usuário pode pertencer: 1.015.
Se você estiver vendo problemas de inchaço do token Kerberos, verifique em quantos grupos o grupo DOMAIN USERS foi aninhado. Essa é uma prática ruim.
Tente impedir que DOMAIN USERS sejam membros de todos os grupos desnecessários.
Aqui está um bom artigo para referência: https://blogs.technet.microsoft.com/shanecothran/2010/07/16/maxtokensize-and-kerberos-token-bloat/