Cómo utilizar Directiva de grupo para agregar la entrada de registro de MaxTokenSize en varios equipos

Seleccione idioma Seleccione idioma
Id. de artículo: 938118 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

INTRODUCCIÓN

En un controlador de dominio que ejecuta Windows Server 2003, Windows Server 2008, Windows Server 2008 R2 o Windows Server 2012, puede utilizar Directiva de grupo para agregar la siguiente entrada de registro en varios equipos:
Clave:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

Entrada: MaxTokenSize
Tipo de datos: REG_DWORD
Valor: 48000
Este artículo describe cómo hacer esto, por lo que puede insertar fácilmente esta configuración a todos los miembros de los dominios. El proceso es diferente, dependiendo de la versión de Windows Server que se ejecuta el controlador de dominio.

Nota El valor máximo permitido de MaxTokenSize es 65535 bytes. Sin embargo, debido a que HTTP codificación base64 de los token de contexto de autenticación, no recomendamos establecer la entrada de registro de maxTokenSize en un valor mayor de 48000 bytes. A partir de Windows Server 2012, el valor predeterminado de la entrada de registro de MaxTokenSize es 48000 bytes.

Más información

Cómo configurar MaxTokenSize con objeto de directiva de grupo (GPO) en Windows Server 2003

Para agregar la entrada del registro en varios equipos en un dominio que no tiene un controlador de dominio basado en Windows Server 2012, siga estos pasos:
  1. Crear un archivo de plantilla administrativa (ADM) para la entrada de valor MaxTokenSize del registro. Para ello, siga estos pasos:
    1. Inicie el Bloc de notas.
    2. Copie el texto siguiente y, a continuación, pegue el texto en el Bloc de notas:
      CLASS MACHINE

      CATEGORY !!KERB

      KEYNAME "SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters"
      POLICY !!MaxToken
      VALUENAME "MaxTokenSize"
      VALUEON NUMERIC 48000
      VALUEOFF NUMERIC 0
      END POLICY

      END CATEGORY

      [strings]
      KERB="Kerberos Maximum Token Size"
      MaxToken="Kerberos MaxTokenSize"

      Nota El valor de la entrada de valor MaxTokenSize del registro se establece en 48000. Éste es el valor sugerido.
    3. Guardar el documento del Bloc de notas como MaxTokenSize.adm en la carpeta %windir%\Inf\ en el controlador de dominio que va a utilizar para configurar el GPO para implementar la configuración.
    4. Cierre el Bloc de notas.
  2. Importar el ADM en un GPO y establezca la entrada MaxTokenSize al valor deseado. Para ello, siga estos pasos:
    1. Crear un nuevo objeto (directiva de grupo) que está vinculado en el nivel de dominio o que está vinculada a la unidad organizativa (OU) que contiene las cuentas de equipo. O bien, seleccione un GPO que ya se ha implementado.
    2. Abra el Editor de objetos de directiva de grupo. Para ello, haga clic en Inicio, haga clic en Ejecutar, escriba gpedit.mscy, a continuación, haga clic en Aceptar.
    3. En el árbol de consola, expanda Configuración del equipo, expanda Plantillas administrativasy, a continuación, haga clic en Plantillas administrativas.
    4. En el menú acción , seleccione Todas las tareasy, a continuación, haga clic en Agregar o quitar plantillas.
    5. Haga clic en Agregar.
    6. Haga clic para seleccionar el archivo MaxTokenSize.adm que creó en el paso 1 y, a continuación, haga clic en Abrir.
    7. Haga clic en Cerrar.
    8. En el menú Ver , haga clic en filtrado.
    9. Haga clic para desactivar la casilla de verificación Mostrar sólo valores de directivas que pueden ser totalmente administrados y, a continuación, haga clic en Aceptar.
    10. Expanda Plantillas administrativasy, a continuación, haga clic en elnúmero máximo de tamaño de símbolo (token)de Kerberos Ma.
    11. (Ratón) en el Valor MaxTokenSize de Kerberos en el panel de la derecha y, a continuación, haga clic en Propiedades para abrir el cuadro de diálogo de Propiedades .
    12. Haga clic en habilitaday, a continuación, haga clic en Aceptar.

      Nota Para el GPO surta efecto, el cambio de GPO debe replicarse en todos los controladores de dominio en el dominio y los equipos afectados deben reiniciarse después de que se les aplica la directiva.

Cómo configurar la entrada de registro MaxTokenSize utilizando GPO en Windows Server 2008 y Windows Server 2008 R2

En dominios de Windows Server 2008 y en dominios de Windows Server 2008 R2, puede utilizar la extensión de registro de cliente para implementar el valor MaxTokenSize del registro en varios equipos en un dominio. Para crear el valor de valor de MaxTokenSize en un GPO, siga estos pasos:
  1. Haga clic en Inicio, haga clic en Ejecutar, escriba gpmc.mscy, a continuación, haga clic en Aceptar para abrir la consola de administración de directiva de grupo.
  2. En la consola de administración de directivas de grupo, cree un nuevo GPO que está vinculado en el nivel de dominio o que está vinculada a la unidad organizativa que contiene las cuentas de equipo. O puede seleccionar un GPO que ya se ha implementado.
  3. Haga clic en el GPO y, a continuación, haga clic en Editar para abrir la ventana Editor de administración de directiva de grupo.
  4. Expanda Configuración del equipo, expanda las preferenciasy, a continuación, expanda Configuración de Windows.
  5. (Ratón) en el registro, seleccione nuevoy, a continuación, haga clic en el Elemento del registro. Aparece el cuadro de diálogo Propiedades de registro nuevo .
  6. En la lista acción , haga clic en crear.
  7. En la lista sección , haga clic en HKEY_LOCAL_MACHINE.
  8. En la lista de la Ruta de la clave , haga clic en SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.
  9. En el cuadro nombre de valor , escriba MaxTokenSize.
  10. En el cuadro tipo de valor , haga clic en la casilla de verificación REG_DWORD .
  11. En el cuadro información del valor , escriba 48000.
  12. Junto a la Base, haga clic en la casilla de verificación Decimal .
  13. Haga clic en Aceptar.
Nota Para el GPO surta efecto, el cambio de GPO debe replicarse en todos los controladores de dominio en el dominio y los equipos afectados deben reiniciarse después de que aplique la directiva.

Cómo configurar la entrada de registro MaxTokenSize utilizando GPO en Windows Server 2012

Para implementar el valor de la entrada de registro de MaxTokenSize en un dominio que tiene controladores de dominio basado en Windows Server 2012, siga estos pasos:
  1. Abra el Administrador del servidor, haga clic en Herramientasy, a continuación, haga clic en Group Policy Management Console para abrir la consola de administración de directivas de grupo.
  2. En la consola de administración de directivas de grupo, cree un nuevo GPO que está vinculado en el nivel de dominio o que está vinculada a la unidad organizativa que contiene las cuentas de equipo. O bien, seleccione un GPO que ya se ha implementado.
  3. Haga clic en el GPO y, a continuación, haga clic en Editar para abrir la ventana Editor de administración de directiva de grupo.
  4. Expanda Configuración del equipo, expanda directivasy, a continuación, expanda Plantillas administrativas.
  5. Expanda sistemay, a continuación, haga clic en Kerberos.
  6. Haga clic en establecer el tamaño máximo del búfer de token de contexto de SSPI de Kerberos en el panel del lado derecho y, a continuación, haga clic en Editar.
  7. Haga clic en habilitaday, a continuación, escriba 48000 en el cuadro tamaño máximo .
  8. Haga clic en Aceptar.
Notas
  • Para el GPO surta efecto, el cambio de GPO debe replicarse en todos los controladores de dominio en el dominio y los equipos afectados deben reiniciarse después de que aplique la directiva.
  • El conjunto máxima Kerberos SSPI contexto búfer token tamaño configuración de directiva se agrega en Windows Server 2012 y en Windows 8. La configuración de directiva se admite en Windows XP, en Windows Server 2003 en Windows Vista, en Windows Server 2008, en Windows 7 y en Windows Server 2008 R2. Para utilizar esta configuración de directiva de grupo, debe editar el GPO en una versión de Windows Server 2012 o en Windows 8 que tenga instaladas las herramientas RSAT.

Referencias

Para obtener más información sobre cómo escribir archivos .adm personalizados, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
225087Escribir archivos ADM personalizados para el Editor de directivas de sistema
Para obtener más información acerca de la entrada de valor MaxTokenSize del registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base
327825 Nueva solución de problemas con la autenticación Kerberos cuando los usuarios pertenecen a muchos grupos

Propiedades

Id. de artículo: 938118 - Última revisión: miércoles, 15 de agosto de 2012 - Versión: 1.0
La información de este artículo se refiere a:
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Windows Server 2008 R2 Service Pack 1
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Standard
Palabras clave: 
kbExpertiseInter kbhowto kbinfo kbmt KB938118 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 938118

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com