Недавно, перейдя с Netware на файловые серверы Windows, мы создали кучу групп AD. Теперь у нас возникли некоторые проблемы с аутентификацией и получением доступа к ресурсам.
После некоторого первоначального устранения неполадок мы пришли к выводу, что Domain Admins является членом слишком большого количества групп (397 по последним подсчетам), а размер билета Kerberos превысил 12000 байт (13783) (идентификатор события 6). Я нашел следующую статью, которая, кажется, описывает точно, что произошло, и некоторые предложения по исправлению:
Цель состоит в том, чтобы поднять предел MaxTokenSize до 65535 в реестре. Однако я не могу найти обсуждения того, какое влияние это окажет? В долгосрочной перспективе цель состоит в том, чтобы рационализировать рост числа групп, но в краткосрочной перспективе это кажется решением. Был ли у кого-нибудь опыт с этим в прошлом, и есть ли какие-либо предостережения, о которых нам следует знать перед развертыванием этого изменения?
В настоящее время мы работаем на уровне домена и леса Server 2008, при этом все контроллеры домена представляют собой 64-разрядные виртуальные машины.
ОБНОВЛЕНИЕ: Итак, немного почитав об этом, я вижу, что в Server 2012 значение по умолчанию установлено на 48000 для MaxTokenSize. Это выглядит как разумный вариант для нас. Одна вещь, о которой я до сих пор не могу найти информацию, это вероятное влияние того, что пользователи имеют более крупные токены. Есть некоторые предположения, что это увеличит использование памяти на серверах IIS, но кто-нибудь знает, будет ли это иметь место на контроллерах домена и рядовых серверах (т. е. 32-битных серверах Citrix и т. д.)?
решение1
Многие организации давно установили это значение на 65535. Есть много статей Microsoft kb, которые рекомендуют это. Ранее рекомендация была 100 000, пока Microsoft не поняла, что это значение не работает, и они исправили это на 65535.
Если вы используете интегрированную проверку подлинности Windows с веб-сайтами IIS (например, SharePoint), большие токены могут привести к неудачной проверке подлинности. Это легко решается путем увеличения значения MaxRequestBytes для службы http.sys. Это связано с тем, что токен Kerberos с группами включается в каждый http-запрос. Существует также настройка IIS, которая может улучшить производительность интегрированной проверки подлинности, так что только первый запрос должен быть аутентифицирован.
Я бы посоветовал пересмотреть ваши группы и преобразовать некоторые из них в группы рассылки, если только они не являются абсолютно необходимыми для группы безопасности. Даже при максимальном размере токена 65535 учетная запись может быть членом стольких групп, что она не сможет войти в систему.
решение2
ЭтоМаксРазмер токена. Токен будет потреблять столько памяти, сколько необходимо. Это не значит, что ВСЕ токены Kerberos всегда будут 48000 байт.
Эта проблема обычно встречается только на крупных предприятиях с большим количеством групп безопасности, которые накапливались годами.
В Windows2012 введено новое жесткое ограничение на количество групп, в которые может входить учетная запись пользователя: 1015.
Если вы видите проблемы с раздуванием маркера kerberos, проверьте, в сколько групп вложена группа DOMAIN USERS. Это плохая практика.
Попробуйте удалить DOMAIN USERS из всех ненужных групп.
Вот хорошая статья для справки: https://blogs.technet.microsoft.com/shanecothran/2010/07/16/maxtokensize-and-kerberos-token-bloat/