Wie Sie Gruppenrichtlinien verwenden, um den Registrierungseintrag MaxTokenSize auf mehreren Computern hinzufügen

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 938118 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

EINFÜHRUNG

Gruppenrichtlinien können Sie auf einem Domänencontroller, auf dem Windows Server 2003, Windows Server 2008, Windows Server 2008 R2 oder Windows Server 2012 ausgeführt wird, fügen Sie den folgenden Registrierungseintrag auf mehreren Computern:
Schlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

Eintrag: MaxTokenSize
Datentyp: REG_DWORD
Wert: 48000
Dieser Artikel beschreibt, wie Sie dazu, damit Sie einfach diese Einstellung für alle Mitglieder der Domänen schieben können. Der Prozess ist unterschiedlich, abhängig von der Version des Windows-Servers, der der Domänencontroller ausgeführt wird.

HinweisDer maximale zulässige Wert der MaxTokenSize ist 65535 Byte. Allerdings aufgrund des HTTP-base64-Codierung von Authentifizierungstokens Kontext empfehlen nicht wir, dass Sie den MaxTokenSize-Registrierungseintrag auf einen Wert größer als 48000 Bytes festgelegt. Beginnend mit Windows Server 2012, ist der Standardwert des Registrierungseintrags MaxTokenSize 48000 Bytes.

Weitere Informationen

MaxTokenSize mit (Group Policy Object, GPO) in Windows Server 2003 konfigurieren

Um den Registrierungseintrag auf mehreren Computern in einer Domäne hinzuzufügen, die nicht mit Windows Server 2012-Domänencontroller verfügt, gehen Sie folgendermaßen vor:
  1. Erstellen Sie eine Administrative Vorlage (ADM) Datei für den Registrierungseintrag MaxTokenSize. Gehen Sie hierzu folgendermaßen vor:
    1. Starten Sie den Editor.
    2. Kopieren Sie den folgenden Text, und fügen Sie den Text in den Editor ein:
      CLASS MACHINE

      CATEGORY !!KERB

      KEYNAME "SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters"
      POLICY !!MaxToken
      VALUENAME "MaxTokenSize"
      VALUEON NUMERIC 48000
      VALUEOFF NUMERIC 0
      END POLICY

      END CATEGORY

      [strings]
      KERB="Kerberos Maximum Token Size"
      MaxToken="Kerberos MaxTokenSize"

      Hinweis Der Wert des Registrierungseintrags MaxTokenSize wird auf 48000 festgelegt. Dies ist der empfohlene Wert.
    3. Speichern Sie das Editor-Dokument als MaxTokenSize.adm im Ordner %windir%\Inf\ auf dem Domänencontroller, den Sie verwenden, konfigurieren Sie das Gruppenrichtlinienobjekt, um die Einstellung bereitstellen.
    4. Beenden Sie den Editor.
  2. ADM in ein Gruppenrichtlinienobjekt importieren und den MaxTokenSize-Registrierungseintrag auf den gewünschten Wert festlegen. Gehen Sie hierzu folgendermaßen vor:
    1. Erstellen Sie eine neue Gruppenrichtlinienobjekt (GPO), das auf der Domänenebene verknüpft ist oder die Organisationseinheit (OU), die Ihre Computerkonten enthält verknüpft ist. Oder wählen Sie ein Gruppenrichtlinienobjekt, das bereits bereitgestellt wurde.
    2. Öffnen Sie den Gruppenrichtlinienobjekt-Editor. Dazu klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie gpedit.msc ein, und klicken Sie dann auf OK.
    3. In der Konsolenstruktur erweitern Sie Computerkonfiguration, erweitern Sie Administrative Vorlagen, und klicken Sie dann auf Administrative Vorlagen.
    4. Klicken Sie im Menü Aktion auf Alle Taskszeigen Sie und klicken Sie dann auf Vorlagen hinzufügen/entfernen.
    5. Klicken Sie auf Hinzufügen.
    6. Klicken Sie auf die MaxTokenSize.adm-Datei aus, der Sie in Schritt 1 erstellt haben, und klicken Sie dann auf Öffnen.
    7. Klicken Sie auf Schließen.
    8. Klicken Sie im Menü Ansicht auf Filtern.
    9. Deaktivieren Sie das Kontrollkästchen nur vollständig verwaltbare Richtlinieneinstellungen anzeigen , und klicken Sie dann auf OK.
    10. Erweitern Sie Administrative Vorlagen, und klicken Sie die Kerberos-Maximale Token-Größe.
    11. Maustaste auf Kerberos MaxTokenSize in den rechten Bereich, und klicken Sie auf Eigenschaften , um das Dialogfeld Eigenschaften zu öffnen.
    12. Klicken Sie auf aktiviert, und klicken Sie dann auf OK.

      Hinweis Für das Gruppenrichtlinienobjekt wirksam, die GPO-Änderung auf alle Domänencontroller in der Domäne repliziert werden muss, und betroffene Computer müssen neu gestartet werden, nachdem die Richtlinie zugewiesen wurde.

Konfigurieren Sie den Registrierungseintrag MaxTokenSize mithilfe von GPOs in Windows Server 2008 und Windows Server 2008 R2

In Domänen von Windows Server 2008 und in Windows Server 2008 R2-Domänen können Sie die Registrierung des clientseitigen Erweiterung, den MaxTokenSize Registrierungswert auf mehreren Computern in einer Domäne bereitgestellt. Um den MaxTokenSize-Werteinstellung in einem Gruppenrichtlinienobjekt zu erstellen, gehen Sie folgendermaßen vor:
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie GPMC.msc ein, und klicken Sie dann auf OK , um die Gruppenrichtlinien-Verwaltungskonsole zu öffnen.
  2. Erstellen Sie in der Gruppenrichtlinien-Verwaltungskonsole ein neues Gruppenrichtlinienobjekt, das auf der Domänenebene verknüpft ist, oder, das mit der Organisationseinheit, die die Computerkonten enthält verknüpft ist. Oder Sie können auswählen, dass ein Gruppenrichtlinienobjekt, das bereits bereitgestellt wurde.
  3. Maustaste auf das Gruppenrichtlinienobjekt, und klicken Sie dann auf Bearbeiten , um das Fenster Gruppenrichtlinienverwaltungs-Editor zu öffnen.
  4. Erweitern Sie Computerkonfiguration, erweitern Sie Einstellungen, und erweitern Sie dann Windows-Einstellungen.
  5. Mit der rechten Maustaste Registrierung, zeigen Sie auf neuund klicken Sie dann auf Registrierungselement. Das Dialogfeld Eigenschaften von neue Registrierung wird angezeigt.
  6. Klicken Sie in der Liste Aktion auf Erstellen.
  7. Klicken Sie in der Liste StrukturHKEY_LOCAL_MACHINEaus.
  8. Klicken Sie in der Liste Schlüsselpfad auf SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.
  9. Geben Sie in das Feld WertnameMaxTokenSize.
  10. Klicken Sie im Feld Wert auf das Kontrollkästchen REG_DWORD .
  11. Geben Sie im Feld Wertdaten48000.
  12. Neben Base, aktivieren Sie das Kontrollkästchen " Decimal ".
  13. Klicken Sie auf OK.
Hinweis Für das Gruppenrichtlinienobjekt wirksam und betroffene Computer müssen neu gestartet werden, nachdem sie die Richtlinie anwenden die GPO-Änderung muss auf allen Domänencontrollern in der Domäne repliziert werden.

Den Registrierungseintrag MaxTokenSize konfigurieren mithilfe von GPOs in Windows Server 2012

Um den Wert des Registrierungseintrags MaxTokenSize in einer Domäne bereitstellen, Windows Server 2012-Domänencontroller ist, gehen Sie folgendermaßen vor:
  1. Öffnen Sie Server-Manager, klicken Sie auf Extras, und klicken Sie dann auf Gruppenrichtlinienverwaltung , um die Gruppenrichtlinien-Verwaltungskonsole zu öffnen.
  2. Erstellen Sie in der Gruppenrichtlinien-Verwaltungskonsole ein neues Gruppenrichtlinienobjekt, das auf der Domänenebene verknüpft ist, oder, das mit der Organisationseinheit, die die Computerkonten enthält verknüpft ist. Oder wählen Sie ein Gruppenrichtlinienobjekt, das bereits bereitgestellt wurde.
  3. Maustaste auf das Gruppenrichtlinienobjekt, und klicken Sie dann auf Bearbeiten , um das Fenster Gruppenrichtlinienverwaltungs-Editor zu öffnen.
  4. Erweitern Sie Computerkonfiguration, erweitern Sie Richtlinien, und erweitern Sie dann Administrative Vorlagen.
  5. Erweitern Sie System, und klicken Sie dann auf Kerberos.
  6. Rechtsklicken Sie auf den rechten Bereich Legen Sie die maximale Puffergröße der Kerberos-SSPI Context token , und klicken Sie dann auf Bearbeiten.
  7. Klicken Sie auf aktiviert, und geben Sie dann in das Feld Maximalgröße48000 .
  8. Klicken Sie auf OK.
Hinweise
  • Für das Gruppenrichtlinienobjekt wirksam und betroffene Computer müssen neu gestartet werden, nachdem sie die Richtlinie anwenden die GPO-Änderung muss auf allen Domänencontrollern in der Domäne repliziert werden.
  • Der Satz maximale Kerberos SSPI Kontext token Richtlinie Puffergröße wird in Windows Server 2012 und Windows 8 hinzugefügt. Die Einstellung wird in Windows XP, in Windows Server 2003, in Windows Vista, in Windows Server 2008, Windows 7 und in Windows Server 2008 R2 unterstützt. Um diese Einstellung zu verwenden, müssen Sie das Gruppenrichtlinienobjekt in einer Version von Windows Server 2012 oder in Windows 8, die die RSAT-Tools installiert sind, bearbeiten.

Informationsquellen

Weitere Informationen zum Schreiben von benutzerdefinierten ADM-Dateien, klicken Sie auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
225087 Erstellen von benutzerdefinierten ADM-Dateien für Systemrichtlinien-Editor
Weitere Informationen zum Registrierungseintrag MaxTokenSize klicken Sie auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen
327825 Neue Lösung für Probleme mit Kerberos-Authentifizierung, wenn Benutzer mehreren Gruppen angehören

Eigenschaften

Artikel-ID: 938118 - Geändert am: Montag, 23. Juni 2014 - Version: 2.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Windows Server 2008 R2 Service Pack 1
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Standard
Keywords: 
kbexpertiseinter kbhowto kbinfo kbmt KB938118 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 938118
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com