Eu corrigi um problema ontem em que uma máquina 2008 R2 não queria se comunicar com o DC. Eu descobri avisos no log de eventos relacionados ao buffer kerberos, então eu aumentei o tamanho no registro e reiniciei o servidor, voila, problema resolvido. O problema é que não consegui abrir o ADUC da máquina 2008 R2 (que NÃO é um DC) e recebi mensagens de acesso negado.
No entanto, agora estou pensando no futuro. Eu sei que o tamanho do buffer foi aumentado para 48k para 2012, mas como isso se traduz em relação ao máximo de usuários do grupo pode ser um membro?
Eu gostaria de planejar com antecedência e não ter esse problema novamente. Por isso, pergunto.
No meu anúncio, eu tenho um LOT de grupos, e há muitos aninhamentos em grupo também. Eu li algo sobre o uso de LDAP para que você não mate seu AD com grandes consultas. Alguém pode por favor elaborar sobre isso também?
Active Directory: um usuário não pode estar em mais de 1015 grupos.
Em qualquer floresta do Microsoft Active Directory, um usuário pode apenas um membro de 1024 grupos, mas depois de permitir até 9 SIDS conhecidos, esse número é, na verdade, 1015. Consulte KB
Na verdade, o valor máximo para MaxTokenSize é 65.535 e tem sido por muitos anos. É o valor padrão que foi aumentado para 48k no Windows Server 2012.
Crie uma preferência de política de registro em sua política de domínio padrão e defina-a como 65535.
Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Value: MaxTokenSize
Value Type: REG_DWORD
Value Data: 65535 (decimal) 0xFFFF (hex)
Estimando o tamanho do token:
40 bytes para cada grupo local de domínio, entrada sidHistory, userSID, usuário grupo principal, grupo de segurança universal fora de seu domínio
Multiplique * 2 (o dobro) do tamanho do token se a conta estiver configurado para "confiável para delegação".
A partir do Windows Server 2012, o controlador de domínio pode executar a compactação SID, o que reduzirá ainda mais o tamanho do token. Isso também dificulta o cálculo.