Kerberos MaxTokenSize

3

Eu tive um usuário que tem cerca de 900 grupos (alguns deles foram aninhados então eu suspeito que existiam cerca de 1000 grupos) e ele não pôde logar retornando erro afirmando que existem IDs demais. Eu executei um script para contar o tamanho do seu token e ele ficou em torno de 24K. Nós definimos um limite para ser 64K. O usuário não tinha nada no histórico do SID, pois ele nunca foi migrado.

Script: link

Eu também li esta articulação: link

Mas primeiro ele diz que há um número fixo de grupos por usuário, mas diz que se definirmos MaxTokenSize como 64K, cada usuário poderá ter 1600 grupos locais de domínio.

Pergunto-me qual é o objetivo de definir o MaxTokenSize enquanto houver o número máximo de grupos do AD permitidos para o usuário. Eu acho que estou perdendo alguma coisa aqui

    
por varrimatrass 30.09.2017 / 11:44

1 resposta

2

Se você não tivesse definido MaxTokenSize como 64K, teria enfrentado problemas com menos associações a grupos, pois o valor padrão é 12K (48K para o Windows Server 2012 e posterior). Eu suspeito que você pode estar usando um sistema operacional anterior ao Windows 2012 devido a 2012 introduziu um novo aviso de log de eventos que fornece o tamanho exato do token para contas com membros de grupos grandes.

Se você leu o KB327825, ele afirma que não há um relacionamento direto entre o número de grupos e o tamanho do token. A quantidade de memória necessária varia com base no tipo de grupo (Universal / Global / Local), se o grupo estiver no mesmo domínio ou em outro domínio, nome de domínio, nome de cliente e se o ticket for usado na delegação.

Você não especificou o número exato de grupos, mas o valor estimado é muito além de qualquer design razoável. O que quer que estejam fazendo, precisará ser feito com menos grupos.

link

    
por 30.09.2017 / 15:06