MaxTokenSize kayıt defteri girdisini birden çok bilgisayara eklemek için grup ilkesi kullanma

  • Makale

Bu makalede, MaxTokenSize kayıt defteri girdisini birden çok bilgisayara eklemek için grup ilkesi nasıl kullanılacağı açıklanmaktadır.

Şunlar için geçerlidir: Windows Server 2012 R2, Windows Server 2008 R2 Service Pack 1
Özgün KB numarası: 938118

Giriş

Windows Server 2003, Windows Server 2008, Windows Server 2008 R2 veya Windows Server 2012 çalıştıran bir etki alanı denetleyicisinde, aşağıdaki kayıt defteri girdisini birden çok bilgisayara eklemek için grup ilkesi kullanabilirsiniz:

Anahtar: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Girdi: MaxTokenSize
Veri türü: REG_DWORD
Değer: 48000

Bu makalede, bu ayarı etki alanlarınızın tüm üyelerine kolayca gönderebilmeniz için nasıl gerçekleştirebileceğiniz açıklanır. İşlem, etki alanı denetleyicisinin çalıştırılan Windows Server sürümüne bağlı olarak farklıdır.

Not

MaxTokenSize için izin verilen en yüksek değer 65535 bayttır. Ancak HTTP'nin kimlik doğrulama bağlam belirteçlerinin base64 kodlaması nedeniyle maxTokenSize kayıt defteri girdisini 48000 bayttan büyük bir değere ayarlamanızı önermeyiz. Windows Server 2012'den başlayarak MaxTokenSize kayıt defteri girdisinin varsayılan değeri 48000 bayttır.

Daha fazla bilgi

Windows Server 2003'te grup ilkesi Nesnesi (GPO) kullanarak MaxTokenSize'ı yapılandırma

Windows Server 2012 tabanlı etki alanı denetleyicisi olmayan bir etki alanındaki birden çok bilgisayara kayıt defteri girdisi eklemek için şu adımları izleyin:

  1. MaxTokenSize kayıt defteri girdisi için bir Yönetim Şablonu (ADM) dosyası oluşturun. Bunu yapmak için şu adımları uygulayın:

    1. Not Defteri'ni başlatın.

    2. Aşağıdaki metni kopyalayın ve ardından metni Not Defteri'ne yapıştırın:

      SıNıF MAKINESI

      KATEGORİ!! KENAR

      KEYNAME "SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters"
      ILKESİ!! MaxToken
      VALUENAME "MaxTokenSize"
      VALUEON NUMERIC 48000
      VALUEOFF SAYıSAL 0
      İLKEYI SONLANDıR

      END CATEGORY

      [dizeler]
      KERB="Kerberos En Büyük Belirteç Boyutu"
      MaxToken="Kerberos MaxTokenSize"

      Not

      MaxTokenSize kayıt defteri girdisinin değeri 48000 olarak ayarlanır. Önerilen değer budur.

    3. Not Defteri belgesini, GPO'sunu ayarı dağıtmak üzere yapılandırmak için kullanacağınız etki alanı denetleyicisindeki %windir%\Inf\ klasörüne MaxTokenSize.adm olarak kaydedin.

    4. Not Defteri'nin çıkışı.

  2. ADM'yi bir GPO'ya aktarın ve MaxTokenSize kayıt defteri girdisini istenen değere ayarlayın. Bunu yapmak için şu adımları uygulayın:

    1. Etki alanı düzeyinde bağlantılı veya bilgisayar hesaplarınızı içeren kuruluş birimine (OU) bağlı yeni bir grup ilkesi Nesnesi (GPO) oluşturun. Ya da zaten dağıtılmış bir GPO seçin.

    2. grup ilkesi Nesnesi Düzenleyici açın. Bunu yapmak için Başlat'a tıklayın, Çalıştır'a tıklayın, gpedit.msc yazın ve ardından Tamam'a tıklayın.

    3. Konsol ağacında Bilgisayar Yapılandırması'nı genişletin, Yönetim Şablonları'nı genişletin ve ardından Yönetim Şablonları'na tıklayın.

    4. Eylem menüsünde Tüm Görevler'in üzerine gelin ve ardından Şablon Ekle/Kaldır'a tıklayın.

    5. Ekle'ye tıklayın.

    6. 1. adımda oluşturduğunuz MaxTokenSize.adm dosyasını seçmek için tıklayın ve ardından Aç'a tıklayın.

    7. Kapat'a tıklayın.

    8. Görünüm Menüsünde Filtreleme'ye tıklayın.

    9. Yalnızca tam olarak yönetilebilen ilke ayarlarını göster onay kutusunu temizlemek için tıklayın ve ardından Tamam'a tıklayın.

    10. Yönetim Şablonları'nı genişletin ve Kerberos En Büyük Belirteç Boyutu'nu tıklatın.

    11. Sağ taraftaki bölmede Kerberos MaxTokenSize öğesine sağ tıklayın ve özellikler'e tıklayarak Özellikler iletişim kutusunu açın.

    12. Etkinleştirildi'ye ve ardından Tamam'a tıklayın.

      Not

      GPO'nin etkili olması için GPO değişikliğinin etki alanındaki tüm etki alanı denetleyicilerine çoğaltılması ve etkilenen bilgisayarların ilke uygulandıktan sonra yeniden başlatılması gerekir.

Windows Server 2008 ve Windows Server 2008 R2'de GPO kullanarak MaxTokenSize kayıt defteri girdisini yapılandırma

Windows Server 2008 etki alanlarında ve Windows Server 2008 R2 etki alanlarında, MaxTokenSize kayıt defteri değerini bir etki alanındaki birden çok bilgisayara dağıtmak için Kayıt Defteri Client-Side Uzantısı'nı kullanabilirsiniz. GPO'da MaxTokenSize değeri ayarını oluşturmak için şu adımları izleyin:

  1. Başlat'a tıklayın, Çalıştır'a tıklayın, gpmc.msc yazın ve ardından Tamam'a tıklayarak grup ilkesi Yönetim Konsolu'nu açın.
  2. grup ilkesi Yönetim Konsolu'nda, etki alanı düzeyinde bağlantılı veya bilgisayar hesaplarınızı içeren OU'ya bağlı yeni bir GPO oluşturun. Ya da zaten dağıtılmış bir GPO seçebilirsiniz.
  3. GPO'ya sağ tıklayın ve ardından Düzenle'ye tıklayarak grup ilkesi Yönetimi Düzenleyici penceresini açın.
  4. Bilgisayar Yapılandırması'nı genişletin, Tercihler'i ve ardından Windows Ayarları'nı genişletin.
  5. Kayıt Defteri'ne sağ tıklayın, Yeni'nin üzerine gelin ve Kayıt Defteri Öğesi'ne tıklayın. Yeni Kayıt Defteri Özellikleri iletişim kutusu görüntülenir.
  6. Eylem listesinde Oluştur'a tıklayın.
  7. Hive listesinde HKEY_LOCAL_MACHINE'e tıklayın.
  8. Anahtar Yolu listesinde SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters öğesine tıklayın.
  9. Değer adı kutusuna MaxTokenSize yazın.
  10. Değer türü kutusunda, REG_DWORD onay kutusunu tıklayarak seçin.
  11. Değer verileri kutusuna 48000 yazın.
  12. Temel'in yanındaki Ondalık onay kutusunu tıklayarak seçin.
  13. Tamam'a tıklayın.

Not

GPO'nin etkili olması için GPO değişikliğinin etki alanındaki tüm etki alanı denetleyicilerine çoğaltılması ve etkilenen bilgisayarların ilkeyi uyguladıktan sonra yeniden başlatılması gerekir.

Windows Server 2012'de GPO kullanarak MaxTokenSize kayıt defteri girdisini yapılandırma

MaxTokenSize kayıt defteri girdisinin değerini Windows Server 2012 tabanlı etki alanı denetleyicileri olan bir etki alanına dağıtmak için şu adımları izleyin:

  1. Sunucu Yöneticisi açın, Araçlar'a tıklayın ve grup ilkesi Yönetimi'ne tıklayarak grup ilkesi Yönetim konsolunu açın.
  2. grup ilkesi Yönetim Konsolu'nda, etki alanı düzeyinde bağlantılı veya bilgisayar hesaplarınızı içeren OU'ya bağlı yeni bir GPO oluşturun. Ya da zaten dağıtılmış bir GPO seçin.
  3. GPO'ya sağ tıklayın ve ardından Düzenle'ye tıklayarak grup ilkesi Yönetimi Düzenleyici penceresini açın.
  4. Bilgisayar Yapılandırması'nı genişletin, İlkeler'i ve ardından Yönetim Şablonları'nı genişletin.
  5. Sistem'i genişletin ve Kerberos'a tıklayın.
  6. Sağ taraftaki bölmede En fazla Kerberos SSPI bağlam belirteci arabellek boyutunu ayarla'ya sağ tıklayın ve ardından Düzenle'ye tıklayın.
  7. Etkin'e tıklayın ve en büyük boyut kutusuna 48000 yazın.
  8. Tamam'a tıklayın.

Not

  • GPO'nin etkili olması için GPO değişikliğinin etki alanındaki tüm etki alanı denetleyicilerine çoğaltılması ve etkilenen bilgisayarların ilkeyi uyguladıktan sonra yeniden başlatılması gerekir.

  • En fazla Kerberos SSPI bağlam belirteci arabellek boyutu ayarla ilke ayarı, Windows Server 2012 ve Windows 8 eklenir. İlke ayarı Windows XP'de, Windows Server 2003'te, Windows Vista'da, Windows Server 2008'de, Windows 7'de ve Windows Server 2008 R2'de desteklenir. Bu grup ilkesi ayarını kullanmak için GPO'nun rsat araçlarının yüklü olduğu bir Windows Server 2012 veya Windows 8 sürümünde düzenlemeniz gerekir.

Başvurular

MaxTokenSize kayıt defteri girdisi hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
327825 Kullanıcılar birçok gruba ait olduğunda Kerberos kimlik doğrulamasıyla ilgili sorunlar için yeni çözüm