MaxTokenSize no servidor 2012 R2 e grupos

2

Eu corrigi um problema ontem em que uma máquina 2008 R2 não queria se comunicar com o DC. Eu descobri avisos no log de eventos relacionados ao buffer kerberos, então eu aumentei o tamanho no registro e reiniciei o servidor, voila, problema resolvido. O problema é que não consegui abrir o ADUC da máquina 2008 R2 (que NÃO é um DC) e recebi mensagens de acesso negado.

No entanto, agora estou pensando no futuro. Eu sei que o tamanho do buffer foi aumentado para 48k para 2012, mas como isso se traduz em relação ao máximo de usuários do grupo pode ser um membro?

Eu gostaria de planejar com antecedência e não ter esse problema novamente. Por isso, pergunto.

No meu anúncio, eu tenho um LOT de grupos, e há muitos aninhamentos em grupo também. Eu li algo sobre o uso de LDAP para que você não mate seu AD com grandes consultas. Alguém pode por favor elaborar sobre isso também?

    
por Michael 27.10.2015 / 17:04

2 respostas

1

Active Directory: um usuário não pode estar em mais de 1015 grupos.

link

Em qualquer floresta do Microsoft Active Directory, um usuário pode apenas um membro de 1024 grupos, mas depois de permitir até 9 SIDS conhecidos, esse número é, na verdade, 1015. Consulte KB link

    
por 28.10.2015 / 14:50
0

Na verdade, o valor máximo para MaxTokenSize é 65.535 e tem sido por muitos anos. É o valor padrão que foi aumentado para 48k no Windows Server 2012.

Crie uma preferência de política de registro em sua política de domínio padrão e defina-a como 65535.

Key:  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters  
Value: MaxTokenSize  
Value Type: REG_DWORD  
Value Data: 65535 (decimal) 0xFFFF (hex)  

link

Estimando o tamanho do token:

  • 1400 bytes de sobrecarga: (varia de acordo com o nome de domínio do dns, cliente nome, pacote de segurança)
  • 8 bytes para cada identificador de segurança interno conhecido (Todos, Usuários, Rede, etc.)
  • 8 bytes para cada grupo de segurança global, grupo de segurança universal em seu domínio
  • 40 bytes para cada grupo local de domínio, entrada sidHistory, userSID, usuário grupo principal, grupo de segurança universal fora de seu domínio

  • Multiplique * 2 (o dobro) do tamanho do token se a conta estiver configurado para "confiável para delegação".

A partir do Windows Server 2012, o controlador de domínio pode executar a compactação SID, o que reduzirá ainda mais o tamanho do token. Isso também dificulta o cálculo.

link

    
por 27.10.2015 / 17:19