Groepsbeleid gebruiken om de registervermelding MaxTokenSize toe te voegen aan meerdere computers

  • Artikel

In dit artikel wordt beschreven hoe u groepsbeleid gebruikt om de registervermelding MaxTokenSize toe te voegen aan meerdere computers.

Van toepassing op: Windows Server 2012 R2, Windows Server 2008 R2 Service Pack 1
Origineel KB-nummer: 938118

Inleiding

Op een domeincontroller met Windows Server 2003, Windows Server 2008, Windows Server 2008 R2 of Windows Server 2012 kunt u groepsbeleid gebruiken om de volgende registervermelding toe te voegen aan meerdere computers:

Sleutel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Vermelding: MaxTokenSize
Gegevenstype: REG_DWORD
Waarde: 48000

In dit artikel wordt beschreven hoe u dit doet, zodat u deze instelling eenvoudig naar alle leden van uw domeinen kunt pushen. Het proces verschilt, afhankelijk van de versie van Windows Server die op de domeincontroller wordt uitgevoerd.

Opmerking

De maximaal toegestane waarde van MaxTokenSize is 65535 bytes. Vanwege de base64-codering van verificatiecontexttokens van HTTP wordt u afgeraden de registervermelding maxTokenSize in te stellen op een waarde die groter is dan 48000 bytes. Vanaf Windows Server 2012 is de standaardwaarde van de registervermelding MaxTokenSize 48000 bytes.

Meer informatie

MaxTokenSize configureren met behulp van groepsbeleid Object (GPO) in Windows Server 2003

Voer de volgende stappen uit om de registervermelding toe te voegen aan meerdere computers in een domein dat geen Windows Server 2012-gebaseerde domeincontroller heeft:

  1. Maak een ADM-bestand (Beheersjabloon) voor de registervermelding MaxTokenSize. Volg deze stappen om dit te doen:

    1. Start Kladblok.

    2. Kopieer de volgende tekst en plak de tekst in Kladblok:

      KLASSEMACHINE

      CATEGORIE!! KERB

      KEYNAME "SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters"
      BELEID!! MaxToken
      VALUENAME "MaxTokenSize"
      WAARDE-GETAL 48000
      VALUEOFF NUMERIEK 0
      BELEID BEËINDIGEN

      EINDCATEGORIE

      [tekenreeksen]
      KERB="Maximale tokengrootte van Kerberos"
      MaxToken="Kerberos MaxTokenSize"

      Opmerking

      De waarde van de registervermelding MaxTokenSize is ingesteld op 48000. Dit is de voorgestelde waarde.

    3. Sla het Kladblok-document op als MaxTokenSize.adm in de map %windir%\Inf\ op de domeincontroller die u gebruikt om het groepsbeleidsobject te configureren om de instelling te implementeren.

    4. Sluit Kladblok af.

  2. Importeer de ADM in een groepsbeleidsobject en stel de registervermelding MaxTokenSize in op de gewenste waarde. Volg deze stappen om dit te doen:

    1. Maak een nieuwe groepsbeleid Object (GPO) die is gekoppeld op domeinniveau of die is gekoppeld aan de organisatie-eenheid (OE) die uw computeraccounts bevat. Of selecteer een groepsbeleidsobject dat al is geïmplementeerd.

    2. Open het groepsbeleid Object Editor. Klik hiervoor op Start, klik op Uitvoeren, typ gpedit.msc en klik vervolgens op OK.

    3. Vouw in de consolestructuur Computerconfiguratie uit, vouw Beheersjablonen uit en klik vervolgens op Beheersjablonen.

    4. Wijs in het menu Actie alle taken aan en klik vervolgens op Sjablonen toevoegen/verwijderen.

    5. Klik op Toevoegen.

    6. Klik om het bestand MaxTokenSize.adm te selecteren dat u in stap 1 hebt gemaakt en klik vervolgens op Openen.

    7. Klik op Sluiten.

    8. Klik in het menu Beeld op Filteren.

    9. Schakel het selectievakje Alleen beleidsinstellingen weergeven die volledig kunnen worden beheerd uit en klik vervolgens op OK.

    10. Vouw Beheersjablonen uit en klik vervolgens op Maximale tokengrootte van Kerberos.

    11. Klik met de rechtermuisknop op Kerberos MaxTokenSize in het rechterdeelvenster en klik vervolgens op Eigenschappen om het dialoogvenster Eigenschappen te openen.

    12. Klik op Ingeschakeld en klik vervolgens op OK.

      Opmerking

      Voordat het groepsbeleidsobject van kracht wordt, moet de wijziging van het groepsbeleidsobject worden gerepliceerd naar alle domeincontrollers in het domein en moeten de betrokken computers opnieuw worden opgestart nadat het beleid op hen is toegepast.

De registervermelding MaxTokenSize configureren met behulp van GPO in Windows Server 2008 en in Windows Server 2008 R2

In Windows Server 2008-domeinen en in Windows Server 2008 R2-domeinen kunt u de extensie Register Client-Side gebruiken om de registerwaarde MaxTokenSize te implementeren op meerdere computers in een domein. Voer de volgende stappen uit om de waarde-instelling MaxTokenSize te maken in een groepsbeleidsobject:

  1. Klik op Start, klik op Uitvoeren, typ gpmc.msc en klik vervolgens op OK om de groepsbeleid-beheerconsole te openen.
  2. Maak in de groepsbeleid-beheerconsole een nieuw groepsbeleidsobject dat is gekoppeld op domeinniveau of dat is gekoppeld aan de organisatie-eenheid die uw computeraccounts bevat. U kunt ook een groepsbeleidsobject selecteren dat al is geïmplementeerd.
  3. Klik met de rechtermuisknop op het groepsbeleidsobject en klik vervolgens op Bewerken om het venster groepsbeleid Management Editor te openen.
  4. Vouw Computerconfiguratie uit, vouw Voorkeuren uit en vouw vervolgens Windows-instellingen uit.
  5. Klik met de rechtermuisknop op Register, wijs Nieuw aan en klik vervolgens op Registeritem. Het dialoogvenster Nieuwe registereigenschappen wordt weergegeven.
  6. Klik in de lijst Actie op Maken.
  7. Klik in de lijst Hive op HKEY_LOCAL_MACHINE.
  8. Klik in de lijst Sleutelpad op SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.
  9. Typ MaxTokenSize in het vak Waardenaam.
  10. Klik in het vak Waardetype om het selectievakje REG_DWORD in te schakelen.
  11. Typ 48000 in het vak Waardegegevens.
  12. Klik naast Basis om het selectievakje Decimaal in te schakelen.
  13. Klik op OK.

Opmerking

Voordat het groepsbeleidsobject van kracht wordt, moet de wijziging van het groepsbeleidsobject worden gerepliceerd naar alle domeincontrollers in het domein en moeten de betrokken computers opnieuw worden opgestart nadat ze het beleid hebben toegepast.

De registervermelding MaxTokenSize configureren met behulp van GPO in Windows Server 2012

Voer de volgende stappen uit om de waarde van de registervermelding MaxTokenSize te implementeren in een domein met op Windows Server 2012 gebaseerde domeincontrollers:

  1. Open Serverbeheer, klik op Extra en klik vervolgens op groepsbeleid Beheer om de groepsbeleid-beheerconsole te openen.
  2. Maak in de groepsbeleid-beheerconsole een nieuw groepsbeleidsobject dat is gekoppeld op domeinniveau of dat is gekoppeld aan de organisatie-eenheid die uw computeraccounts bevat. Of selecteer een groepsbeleidsobject dat al is geïmplementeerd.
  3. Klik met de rechtermuisknop op het groepsbeleidsobject en klik vervolgens op Bewerken om het venster groepsbeleid Management Editor te openen.
  4. Vouw Computerconfiguratie uit, vouw Beleid uit en vouw vervolgens Beheersjablonen uit.
  5. Vouw Systeem uit en klik vervolgens op Kerberos.
  6. Klik met de rechtermuisknop op Maximale grootte van kerberos SSPI-contexttokenbuffer instellen in het rechterdeelvenster en klik vervolgens op Bewerken.
  7. Klik op Ingeschakeld en typ 48000 in het vak Maximale grootte.
  8. Klik op OK.

Opmerking

  • Voordat het groepsbeleidsobject van kracht wordt, moet de wijziging van het groepsbeleidsobject worden gerepliceerd naar alle domeincontrollers in het domein en moeten de betrokken computers opnieuw worden opgestart nadat ze het beleid hebben toegepast.

  • De beleidsinstelling Maximale grootte van kerberos SSPI-contexttoken voor tokens instellen wordt toegevoegd in Windows Server 2012 en in Windows 8. De beleidsinstelling wordt ondersteund in Windows XP, in Windows Server 2003, in Windows Vista, in Windows Server 2008, in Windows 7 en in Windows Server 2008 R2. Als u deze groepsbeleid instelling wilt gebruiken, moet u het groepsbeleidsobject bewerken in een versie van Windows Server 2012 of in Windows 8 waarop de RSAT-hulpprogramma's zijn geïnstalleerd.

Verwijzingen

Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie over de registervermelding MaxTokenSize:
327825 Nieuwe oplossing voor problemen met Kerberos-verificatie wanneer gebruikers tot veel groepen behoren