rrzatc 10 Geschrieben 15. August 2012 Melden Teilen Geschrieben 15. August 2012 Hi Leute, ich unserer Umgebung müssen wir die MaxTokenSize auf 64kb erhöhen. Ich hatte vor das ganze über die Registry zu ändern und über GPO zu verteilen. Die Umgebung besteht aus einer Mischlandschaft, DC's sind 2008R2 (Funktionslevel 2008), Server von 2003 bis 2008R2 und Clients entweder XP oder Win7. Allerdings möchte ich vermeiden das etwas in die Hose geht, daher meine Frage: Hat das jemand schon mal gemacht, bzw. wichtige Anmerkung zum Thema? Dinge die ich auf keinen Fall machen sollte :) Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 15. August 2012 Melden Teilen Geschrieben 15. August 2012 Hallo, bei mir war es der 3. Treffer bei Google: How to use Group Policy to add the MaxTokenSize registry entry to multiple computers ;) Zitieren Link zu diesem Kommentar
rrzatc 10 Geschrieben 15. August 2012 Autor Melden Teilen Geschrieben 15. August 2012 Die Theorie ist mir klar, meine Frage bezog sich auf Erfahrungsberichte. Habe mich nicht so deutlich ausgedrückt, sorry! Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 15. August 2012 Melden Teilen Geschrieben 15. August 2012 Dann frage ich Dich, warum Du das machen willst/musst ? -Zahni Zitieren Link zu diesem Kommentar
rrzatc 10 Geschrieben 15. August 2012 Autor Melden Teilen Geschrieben 15. August 2012 Weil die Standardgröße bei einigen Usern nicht mehr reicht... Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 15. August 2012 Melden Teilen Geschrieben 15. August 2012 Bei welchen Anwendungen und welche Fehler kommen ? Ansonsten gibt es unter support.microsoft.com aucbh ein paar Artikel was passiert wen der Wert zu gross ist... Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 15. August 2012 Melden Teilen Geschrieben 15. August 2012 Könnt ihr evtl. eurer Gruppenkonzept überdenken, evtl. kann man Gruppen einsparen. Achtung! Bei z.B. Webanwendung auf Kerberos Basis muss man ggf. die Header Größe auf allen beteiligten Geräten anpassen. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 15. August 2012 Melden Teilen Geschrieben 15. August 2012 Achtung! Bei z.B. Webanwendung auf Kerberos Basis muss man ggf. die Header Größe auf allen beteiligten Geräten anpassen. ...zumal etwa der IIS aufgrund von Base64-Kodierung der Tickets im HTTP-Header meines Wissens eh nur 48KB wirklich weiterleiten kann. Zusätzlich kommt dann noch bei einer Kerberos Delegation die gleiche "Menge" (= insgesamt die doppelte Ticket-/ Token-Größe) dazu, spätestens dann wird es knapp. Insgesamt solltet Ihr die Änderung wirklich gut testen - es gibt meiner Erfahrung nach diverse Applikationen und Dienste (bis hin zu alten NAS-Systemen), die schlichtweg weinen hart codierten Puffer von 12KB haben. Hier kannst Du in größere Autorisierungsprobleme laufen, wenn dann ein Großteil des Access Tokens schlichtweg gar nicht am Zielsystem ausgewertet wird. Ansonsten empfiehlt sich, die Vergrößerung (wenn Sie denn wirklich sein muß) auf wirklich *allen* Windows Systemen auzurollen. P.S.: Windows 8 / Windows Server 2012 hat einen neuen Standardwert von 48KB, was ich persönlich (wenn überhaupt) als Maximalwert empfehlen würde (siehe IIS Thema oben). [Edit] Sehe gerade, daß der KB-Artikel durch MS in Bezug auf die 48KB angepaßt wurde. Bestätigt meine Aussagen oben. [/Edit] Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.