Verwenden von Gruppenrichtlinie zum Hinzufügen des MaxTokenSize-Registrierungseintrags zu mehreren Computern

  • Artikel

In diesem Artikel wird beschrieben, wie Sie Gruppenrichtlinie verwenden, um den Registrierungseintrag MaxTokenSize mehreren Computern hinzuzufügen.

Gilt für: Windows Server 2012 R2, Windows Server 2008 R2 Service Pack 1
Ursprüngliche KB-Nummer: 938118

Einführung

Auf einem Domänencontroller unter Windows Server 2003, Windows Server 2008, Windows Server 2008 R2 oder Windows Server 2012 können Sie Gruppenrichtlinie verwenden, um mehreren Computern den folgenden Registrierungseintrag hinzuzufügen:

Schlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Eintrag: MaxTokenSize
Datentyp: REG_DWORD
Wert: 48000

In diesem Artikel wird beschrieben, wie Sie dies tun, damit Sie diese Einstellung problemlos an alle Mitglieder Ihrer Domänen pushen können. Der Prozess ist abhängig von der Windows Server-Version, die auf dem Domänencontroller ausgeführt wird, unterschiedlich.

Hinweis

Der maximal zulässige Wert von MaxTokenSize beträgt 65535 Bytes. Aufgrund der BASE64-Codierung von Authentifizierungskontexttoken von HTTP wird jedoch davon abgeraten, den Registrierungseintrag maxTokenSize auf einen Wert festzulegen, der größer als 48.000 Bytes ist. Ab Windows Server 2012 beträgt der Standardwert des Registrierungseintrags MaxTokenSize 48.000 Bytes.

Weitere Informationen

Konfigurieren von MaxTokenSize mithilfe von Gruppenrichtlinie Object (GPO) in Windows Server 2003

Führen Sie die folgenden Schritte aus, um den Registrierungseintrag mehreren Computern in einer Domäne ohne Windows Server 2012-basierten Domänencontroller hinzuzufügen:

  1. Erstellen Sie eine ADM-Datei (Administrative Vorlage) für den Registrierungseintrag MaxTokenSize. Gehen Sie dazu wie folgt vor:

    1. Starten Sie Editor.

    2. Kopieren Sie den folgenden Text, und fügen Sie ihn dann in Editor ein:

      KLASSENCOMPUTER

      KATEGORIE!! KERB

      KEYNAME "SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters"
      POLITIK!! MaxToken
      VALUENAME "MaxTokenSize"
      VALUEON NUMERIC 48000
      VALUEOFF NUMERIC 0
      END POLICY

      ENDKATEGORIE

      [Zeichenfolgen]
      KERB="Maximale Kerberos-Tokengröße"
      MaxToken="Kerberos MaxTokenSize"

      Hinweis

      Der Wert des Registrierungseintrags MaxTokenSize ist auf 48000 festgelegt. Dies ist der vorgeschlagene Wert.

    3. Speichern Sie das Editor-Dokument als MaxTokenSize.adm im Ordner %windir%\Inf\ auf dem Domänencontroller, den Sie zum Konfigurieren des Gruppenrichtlinienobjekts für die Bereitstellung der Einstellung verwenden.

    4. Beenden Sie editor.

  2. Importieren Sie adm in ein Gruppenrichtlinienobjekt, und legen Sie den Registrierungseintrag MaxTokenSize auf den gewünschten Wert fest. Gehen Sie dazu wie folgt vor:

    1. Erstellen Sie ein neues Gruppenrichtlinie Object (GPO), das auf Domänenebene oder mit der Organisationseinheit (OE) verknüpft ist, die Ihre Computerkonten enthält. Oder wählen Sie ein GPO aus, das bereits bereitgestellt wurde.

    2. Öffnen Sie die Gruppenrichtlinie Object-Editor. Klicken Sie dazu auf Start, klicken Sie auf Ausführen, geben Sie gpedit.msc ein, und klicken Sie dann auf OK.

    3. Erweitern Sie in der Konsolenstruktur Computerkonfiguration, erweitern Sie Administrative Vorlagen, und klicken Sie dann auf Administrative Vorlagen.

    4. Zeigen Sie im Menü Aktion auf Alle Aufgaben, und klicken Sie dann auf Vorlagen hinzufügen/entfernen.

    5. Klicken Sie auf Hinzufügen.

    6. Klicken Sie auf die Datei MaxTokenSize.adm, die Sie in Schritt 1 erstellt haben, und klicken Sie dann auf Öffnen.

    7. Klicken Sie auf Schließen.

    8. Klicken Sie im Menü Ansicht auf Filtern.

    9. Deaktivieren Sie das Kontrollkästchen Richtlinieneinstellungen nur anzeigen, die vollständig verwaltet werden können, und klicken Sie dann auf OK.

    10. Erweitern Sie Administrative Vorlagen, und klicken Sie dann auf Maximale Kerberos-Tokengröße.

    11. Klicken Sie im rechten Bereich mit der rechten Maustaste auf Kerberos MaxTokenSize, und klicken Sie dann auf Eigenschaften, um das Dialogfeld Eigenschaften zu öffnen.

    12. Klicken Sie auf Aktiviert und dann auf OK.

      Hinweis

      Damit das Gruppenrichtlinienobjekt wirksam wird, muss die GPO-Änderung auf alle Domänencontroller in der Domäne repliziert werden, und die betroffenen Computer müssen neu gestartet werden, nachdem die Richtlinie auf sie angewendet wurde.

Konfigurieren des MaxTokenSize-Registrierungseintrags mithilfe des Gruppenrichtlinienobjekts in Windows Server 2008 und Windows Server 2008 R2

In Windows Server 2008-Domänen und Windows Server 2008 R2-Domänen können Sie die Registrierungserweiterung Client-Side verwenden, um den Registrierungswert MaxTokenSize auf mehreren Computern in einer Domäne bereitzustellen. Führen Sie die folgenden Schritte aus, um die MaxTokenSize-Werteinstellung in einem Gruppenrichtlinienobjekt zu erstellen:

  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie gpmc.msc ein, und klicken Sie dann auf OK, um die Gruppenrichtlinie Management Console zu öffnen.
  2. Erstellen Sie in der Gruppenrichtlinie Management Console ein neues Gruppenrichtlinienobjekt, das auf Domänenebene oder mit der Organisationseinheit verknüpft ist, die Ihre Computerkonten enthält. Alternativ können Sie ein GPO auswählen, das bereits bereitgestellt wurde.
  3. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, und klicken Sie dann auf Bearbeiten, um das Fenster Gruppenrichtlinie Management Editor zu öffnen.
  4. Erweitern Sie Computerkonfiguration, erweitern Sie Einstellungen, und erweitern Sie dann Windows-Einstellungen.
  5. Klicken Sie mit der rechten Maustaste auf Registrierung, zeigen Sie auf Neu, und klicken Sie dann auf Registrierungselement. Das Dialogfeld Neue Registrierungseigenschaften wird angezeigt.
  6. Klicken Sie in der Liste Aktion auf Erstellen.
  7. Klicken Sie in der Liste Hive auf HKEY_LOCAL_MACHINE.
  8. Klicken Sie in der Liste Schlüsselpfad auf SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.
  9. Geben Sie im Feld Wertname den Namen MaxTokenSize ein.
  10. Aktivieren Sie im Feld Werttyp das Kontrollkästchen REG_DWORD.
  11. Geben Sie im Feld Wert den Wert 48000 ein.
  12. Aktivieren Sie neben Basis das Kontrollkästchen Dezimal.
  13. Klicken Sie auf OK.

Hinweis

Damit das Gruppenrichtlinienobjekt wirksam wird, muss die GPO-Änderung auf alle Domänencontroller in der Domäne repliziert werden, und die betroffenen Computer müssen neu gestartet werden, nachdem sie die Richtlinie angewendet haben.

Konfigurieren des Registrierungseintrags MaxTokenSize mithilfe des Gruppenrichtlinienobjekts in Windows Server 2012

Führen Sie die folgenden Schritte aus, um den Wert des Registrierungseintrags MaxTokenSize in einer Domäne mit Windows Server 2012-basierten Domänencontrollern bereitzustellen:

  1. Öffnen Sie Server-Manager, klicken Sie auf Extras, und klicken Sie dann auf Gruppenrichtlinie Verwaltung, um die Gruppenrichtlinie-Verwaltungskonsole zu öffnen.
  2. Erstellen Sie in der Gruppenrichtlinie Management Console ein neues Gruppenrichtlinienobjekt, das auf Domänenebene oder mit der Organisationseinheit verknüpft ist, die Ihre Computerkonten enthält. Oder wählen Sie ein GPO aus, das bereits bereitgestellt wurde.
  3. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, und klicken Sie dann auf Bearbeiten, um das Fenster Gruppenrichtlinie Management Editor zu öffnen.
  4. Erweitern Sie Computerkonfiguration, Richtlinien und dann Administrative Vorlagen.
  5. Erweitern Sie System, und klicken Sie dann auf Kerberos.
  6. Klicken Sie im rechten Bereich mit der rechten Maustaste auf Maximale Kerberos-SSPI-Kontexttokenpuffergröße festlegen, und klicken Sie dann auf Bearbeiten.
  7. Klicken Sie auf Aktiviert, und geben Sie dann 48000 in das Feld Maximale Größe ein.
  8. Klicken Sie auf OK.

Hinweis

  • Damit das Gruppenrichtlinienobjekt wirksam wird, muss die GPO-Änderung auf alle Domänencontroller in der Domäne repliziert werden, und die betroffenen Computer müssen neu gestartet werden, nachdem sie die Richtlinie angewendet haben.

  • Die Richtlinieneinstellung Maximale Puffergröße des Kerberos-SSPI-Kontexttokens festlegen wird in Windows Server 2012 und in Windows 8 hinzugefügt. Die Richtlinieneinstellung wird unter Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2 unterstützt. Um diese Gruppenrichtlinie Einstellung verwenden zu können, müssen Sie das Gruppenrichtlinienobjekt in einer Version von Windows Server 2012 oder in Windows 8 bearbeiten, auf der die RSAT-Tools installiert sind.

References

Wenn Sie weitere Informationen zum Registrierungseintrag MaxTokenSize erhalten möchten, klicken Sie auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
327825 Neue Lösung für Probleme mit der Kerberos-Authentifizierung, wenn Benutzer zu vielen Gruppen gehören