当前在线 人
专家解答
当一个用户在Active Directory组中有很多成员,通常超过100个(这个数目包含明确的成员以及来自其它组的继承成员)时,这种情况会发生。尽管没有注册表项的默认值,但是MaxTokenSize的默认值为12000(十进制)。在绝大多数的组织机构里,这个大小是足够有余的。然而,在大型机构里,用户的tokens大于默认值。由于Kerberos不能接受损坏的tokens,身份验证会失败。如果你遇到这个问题,你将会看到两个错误信息,而这两个错误信息说明默认的MaxTokenSize是不足够的:
图一
图二
Microsoft有一个名为TokenSZ的工具,它可以用于确定用户的MaxTokenSize。有一些转换可以用于这个工具,但计算最大token大小的一般语法是:
| Sample TokenSZ Syntax E:\>tokensz/compute_tokensize/user:Administrator/domain:CULLENSOLUTIONS.com /password:OU812 Results of executing TOKENSZ |
图三
在窗体顶部上方,你可以看到默认的token大小是12000。标红色的文本是这个网域管理实际最大的Token大小,这个大小远低于MaxToken的默认值。目前我被分配到的公司也遇到了MaxTokenSizes大小介于12000和15000的问题,所以需要做改动。
一个注册表项的修改或增补需要修改被服务器允许的默认MaxTokenSize大小。注册表改动的位置在
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters部分。注意,执行TOKENSZ的服务器没有关于MaxTokenSize的表项。
图四
要创建注册表项,请打开注册表编辑器(Registry Editor)并点击Start -> Run,接着键入regedit。一旦注册表编辑器打开,可浏览到
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters部分。右键单击右侧的白色区域,并选择New -> DWORD value:
图五
重命名注册表项为“MaxTokenSize”,双击编辑,选择Decimal并输入65535。
图六
任何服务器工作站或者与SQL Server交互的服务器都要求注册表项。此外,机器需要重新启动使更改生效。一旦重启发生,你可以再次执行TokenSZ来看看MaxTokenSize值是否已经改变。
图七
| 共分1页 [1] |