rrzatc 10 Geschrieben 15. August 2012 Melden Geschrieben 15. August 2012 Hi Leute, ich unserer Umgebung müssen wir die MaxTokenSize auf 64kb erhöhen. Ich hatte vor das ganze über die Registry zu ändern und über GPO zu verteilen. Die Umgebung besteht aus einer Mischlandschaft, DC's sind 2008R2 (Funktionslevel 2008), Server von 2003 bis 2008R2 und Clients entweder XP oder Win7. Allerdings möchte ich vermeiden das etwas in die Hose geht, daher meine Frage: Hat das jemand schon mal gemacht, bzw. wichtige Anmerkung zum Thema? Dinge die ich auf keinen Fall machen sollte :)
zahni 587 Geschrieben 15. August 2012 Melden Geschrieben 15. August 2012 Hallo, bei mir war es der 3. Treffer bei Google: How to use Group Policy to add the MaxTokenSize registry entry to multiple computers ;)
rrzatc 10 Geschrieben 15. August 2012 Autor Melden Geschrieben 15. August 2012 Die Theorie ist mir klar, meine Frage bezog sich auf Erfahrungsberichte. Habe mich nicht so deutlich ausgedrückt, sorry!
zahni 587 Geschrieben 15. August 2012 Melden Geschrieben 15. August 2012 Dann frage ich Dich, warum Du das machen willst/musst ? -Zahni
rrzatc 10 Geschrieben 15. August 2012 Autor Melden Geschrieben 15. August 2012 Weil die Standardgröße bei einigen Usern nicht mehr reicht...
zahni 587 Geschrieben 15. August 2012 Melden Geschrieben 15. August 2012 Bei welchen Anwendungen und welche Fehler kommen ? Ansonsten gibt es unter support.microsoft.com aucbh ein paar Artikel was passiert wen der Wert zu gross ist...
Dukel 468 Geschrieben 15. August 2012 Melden Geschrieben 15. August 2012 Könnt ihr evtl. eurer Gruppenkonzept überdenken, evtl. kann man Gruppen einsparen. Achtung! Bei z.B. Webanwendung auf Kerberos Basis muss man ggf. die Header Größe auf allen beteiligten Geräten anpassen.
olc 18 Geschrieben 15. August 2012 Melden Geschrieben 15. August 2012 Achtung! Bei z.B. Webanwendung auf Kerberos Basis muss man ggf. die Header Größe auf allen beteiligten Geräten anpassen. ...zumal etwa der IIS aufgrund von Base64-Kodierung der Tickets im HTTP-Header meines Wissens eh nur 48KB wirklich weiterleiten kann. Zusätzlich kommt dann noch bei einer Kerberos Delegation die gleiche "Menge" (= insgesamt die doppelte Ticket-/ Token-Größe) dazu, spätestens dann wird es knapp. Insgesamt solltet Ihr die Änderung wirklich gut testen - es gibt meiner Erfahrung nach diverse Applikationen und Dienste (bis hin zu alten NAS-Systemen), die schlichtweg weinen hart codierten Puffer von 12KB haben. Hier kannst Du in größere Autorisierungsprobleme laufen, wenn dann ein Großteil des Access Tokens schlichtweg gar nicht am Zielsystem ausgewertet wird. Ansonsten empfiehlt sich, die Vergrößerung (wenn Sie denn wirklich sein muß) auf wirklich *allen* Windows Systemen auzurollen. P.S.: Windows 8 / Windows Server 2012 hat einen neuen Standardwert von 48KB, was ich persönlich (wenn überhaupt) als Maximalwert empfehlen würde (siehe IIS Thema oben). [Edit] Sehe gerade, daß der KB-Artikel durch MS in Bezug auf die 48KB angepaßt wurde. Bestätigt meine Aussagen oben. [/Edit] Viele Grüße olc
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden