Impacto de aumentar o MaxTokenSize para tickets do Kerberos

Navegue suas respostas
3

Recentemente, ao migrar os servidores de arquivos Netware para o Windows, acabamos criando uma carga de grupos AD. Agora, nos deparamos com alguns problemas de autenticação e acesso a recursos.

Após alguns problemas iniciais, chegamos ao fato de que os administradores de domínio são membros de muitos grupos (397 na contagem mais recente) e o tamanho do tíquete Kerberos ultrapassou 12000 bytes (é 13783) (ID do evento 6) . Eu encontrei o seguinte artigo que parece descrever exatamente o que aconteceu e algumas sugestões de como corrigi-lo:

link

O objetivo é aumentar o limite de MaxTokenSize para 65535 no Registro. No entanto, não encontro discussão sobre qual será o impacto disso? A longo prazo, o objetivo é racionalizar o aumento do número de grupos, mas a curto prazo isso parece uma correção. Alguém já teve alguma experiência com isso no passado e há alguma ressalva de que devemos estar cientes antes de lançar essa mudança?

Atualmente, estamos executando o nível de domínio e floresta do Server 2008, com todos os DCs sendo VMs de 64 bits.

UPDATE: Então, depois de ler um pouco mais sobre isso, vejo que no Server 2012 o padrão é definido como 48000 para o MaxTokenSize. Isto parece uma opção sensata para nós adotarmos. Uma coisa que eu não consigo encontrar informações sobre ainda é o provável impacto de usuários com tokens maiores. Há alguma sugestão de que isso aumentará o uso de memória nos servidores IIS, mas alguém sabe se esse será o caso de DCs e servidores membros (por exemplo, servidores Citrix de 32 bits, etc.)?

    
por Tim Alexander 16.10.2012 / 12:17

2 respostas

4

Muitas organizações definem isso para 65535 há muito tempo. Há muitos artigos do kb da Microsoft que recomendam isso. Anteriormente, a recomendação era de 100.000 até a Microsoft perceber que o valor não funcionava e eles corrigiram isso para 65535.

Se você usar a autenticação integrada do Windows com sites do IIS (como o SharePoint), os tokens grandes poderão resultar em falha na autenticação. Isso é facilmente resolvido aumentando o valor de MaxRequestBytes para o serviço http.sys. Isso ocorre porque o token Kerberos com grupos está incluído em cada solicitação http. Há também uma configuração do IIS que pode melhorar o desempenho da autenticação integrada para que somente a primeira solicitação tenha que ser autenticada.

Aconselho que revise seus grupos e converta alguns em grupos de distribuição, a menos que seja absolutamente necessário que eles sejam um grupo de segurança. Mesmo com um tamanho máximo de token de 65535, é possível que uma conta seja membro de tantos grupos que não pode fazer logon.

    
por 16.10.2012 / 15:13
0

Esse é o tamanho do token Máximo . O token consumirá apenas muita memória, se necessário. Isso não significa que TODOS os tokens do Kerberos serão sempre 48000 bytes.

Esse problema geralmente é encontrado apenas em grandes empresas com muitos grupos de segurança, que vêm se acumulando há anos.

No Windows2012, há um novo limite rígido para o número de grupos aos quais uma conta de usuário pode pertencer: 1,015.

Se você estiver vendo problemas de inchaço do token do kerberos, verifique em quantos grupos o grupo DOMÍNIOS USUÁRIOS foi aninhado. Essa é uma prática ruim.

Tente remover USUÁRIOS DE DOMÍNIO de serem membros de todos os grupos desnecessários.

Aqui está um bom artigo para referência: link

    
por 12.07.2016 / 19:22

Tags

Resolução Hyper-V e personalizada Gerenciador Hyper-V - Acesso ao host durante uma catástrofe