Freigeben über

Verwenden von Gruppenrichtlinien zum Hinzufügen des MaxTokenSize-Registrierungseintrags zu mehreren Computern

In diesem Artikel wird beschrieben, wie Sie gruppenrichtlinien verwenden, um den Registrierungseintrag "MaxTokenSize" mehreren Computern hinzuzufügen.

Ursprüngliche KB-Nummer: 938118

Einführung

Auf einem Domänencontroller mit Windows Server 2003, Windows Server 2008, Windows Server 2008 R2 oder Windows Server 2012 können Sie gruppenrichtlinien verwenden, um den folgenden Registrierungseintrag mehreren Computern hinzuzufügen:

Schlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Eintrag: MaxTokenSize
Datentyp: REG_DWORD
Wert: 48000

In diesem Artikel wird beschrieben, wie Sie dies tun können, damit Sie diese Einstellung auf einfache Weise an alle Mitglieder Ihrer Domänen übertragen können. Der Prozess unterscheidet sich je nach Der Version von Windows Server, die der Domänencontroller ausführt.

Notiz

Der maximal zulässige Wert von MaxTokenSize beträgt 65535 Bytes. Aufgrund der Base64-Codierung von Authentifizierungskontexttoken wird jedoch nicht empfohlen, dass Sie den Registrierungseintrag "maxTokenSize" auf einen Wert festlegen, der größer als 48000 Bytes ist. Ab Windows Server 2012 beträgt der Standardwert des Registrierungseintrags "MaxTokenSize" 48000 Bytes.

Weitere Informationen

Konfigurieren von MaxTokenSize mithilfe des Gruppenrichtlinienobjekts (Group Policy Object, GPO) in Windows Server 2003

Führen Sie die folgenden Schritte aus, um den Registrierungseintrag zu mehreren Computern in einer Domäne hinzuzufügen, die nicht über einen Windows Server 2012-basierten Domänencontroller verfügt:

  1. Erstellen Sie eine ADM-Datei (Administrative Template) für den Registrierungseintrag "MaxTokenSize". Gehen Sie dazu wie folgt vor:

    1. Starten Sie Editor.

    2. Kopieren Sie den folgenden Text, und fügen Sie den Text dann in Editor ein:

      KLASSENCOMPUTER

      KATEGORIE!! BORDSTEIN

      KEYNAME "SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters"
      POLITIK!! MaxToken
      WERTNAME "MaxTokenSize"
      VALUEON NUMERIC 48000
      VALUEOFF NUMERIC 0
      ENDRICHTLINIE

      ENDKATEGORIE

      [Zeichenfolgen]
      KERB="Maximale Tokengröße für Kerberos"
      MaxToken="Kerberos MaxTokenSize"

      Notiz

      Der Wert des Registrierungseintrags "MaxTokenSize" ist auf 48000 festgelegt. Dies ist der vorgeschlagene Wert.

    3. Speichern Sie das Editor-Dokument als "MaxTokenSize.adm" im Ordner "%windir%\Inf\" auf dem Domänencontroller, mit dem Sie das Gruppenrichtlinienobjekt für die Bereitstellung der Einstellung konfigurieren.

    4. Editor beenden.

  2. Importieren Sie adM in ein Gruppenrichtlinienobjekt, und legen Sie den Registrierungseintrag "MaxTokenSize" auf den gewünschten Wert fest. Gehen Sie dazu wie folgt vor:

    1. Erstellen Sie ein neues Gruppenrichtlinienobjekt (Group Policy Object, GPO), das auf Domänenebene verknüpft ist oder mit der Organisationseinheit (OU) verknüpft ist, die Ihre Computerkonten enthält. Oder wählen Sie ein bereits bereitgestelltes Gruppenrichtlinienobjekt aus.

    2. Öffnen Sie den Gruppenrichtlinienobjekt-Editor. Klicken Sie dazu auf "Start", klicken Sie auf "Ausführen", geben Sie "gpedit.msc" ein, und klicken Sie dann auf "OK".

    3. Erweitern Sie in der Konsolenstruktur die Computerkonfiguration, erweitern Sie administrative Vorlagen, und klicken Sie dann auf "Administrative Vorlagen".

    4. Zeigen Sie im Menü "Aktion" auf "Alle Aufgaben", und klicken Sie dann auf "Vorlagen hinzufügen/entfernen".

    5. Klicken Sie auf Hinzufügen.

    6. Klicken Sie, um die Datei "MaxTokenSize.adm" auszuwählen, die Sie in Schritt 1 erstellt haben, und klicken Sie dann auf "Öffnen".

    7. Klicken Sie auf Schließen.

    8. Klicken Sie im Menü "Ansicht" auf "Filtern".

    9. Klicken Sie, um das Kontrollkästchen "Nur Richtlinieneinstellungen anzeigen" zu deaktivieren, das vollständig verwaltet werden kann, und klicken Sie dann auf "OK".

    10. Erweitern Sie administrative Vorlagen, und klicken Sie dann auf "Kerberos Maximum Token Size".

    11. Klicken Sie im rechten Bereich mit der rechten Maustaste auf Kerberos MaxTokenSize, und klicken Sie dann auf "Eigenschaften", um das Dialogfeld "Eigenschaften" zu öffnen.

    12. Klicken Sie auf Aktiviert und dann auf OK.

      Notiz

      Damit das Gruppenrichtlinienobjekt wirksam wird, muss die GPO-Änderung auf alle Domänencontroller in der Domäne repliziert werden, und betroffene Computer müssen neu gestartet werden, nachdem die Richtlinie auf sie angewendet wurde.

Konfigurieren des Registrierungseintrags "MaxTokenSize" mithilfe von GPO in Windows Server 2008 und windows Server 2008 R2

In Windows Server 2008-Domänen und in Windows Server 2008 R2-Domänen können Sie die clientseitige Registrierungserweiterung verwenden, um den MaxTokenSize-Registrierungswert auf mehreren Computern in einer Domäne bereitzustellen. Führen Sie die folgenden Schritte aus, um die MaxTokenSize-Werteinstellung in einem Gruppenrichtlinienobjekt zu erstellen:

  1. Klicken Sie auf "Start", klicken Sie auf "Ausführen", geben Sie "gpmc.msc" ein, und klicken Sie dann auf "OK", um die Gruppenrichtlinien-Verwaltungskonsole zu öffnen.
  2. Erstellen Sie in der Gruppenrichtlinien-Verwaltungskonsole ein neues Gruppenrichtlinienobjekt, das auf Domänenebene verknüpft ist oder mit der OU verknüpft ist, die Ihre Computerkonten enthält. Alternativ dazu können Sie ein GPO auswählen, das schon bereitgestellt wurde.
  3. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, und klicken Sie dann auf "Bearbeiten", um das Gruppenrichtlinienverwaltungs-Editor-Fenster zu öffnen.
  4. Erweitern Sie nacheinander Computerkonfiguration, Einstellungen und dann Windows-Einstellungen.
  5. Klicken Sie mit der rechten Maustaste auf Registrierung, zeigen Sie auf Neu, und klicken Sie dann auf Registrierungselement. Das Dialogfeld Neue Registrierungseigenschaften wird angezeigt.
  6. Klicken Sie in der Aktionsliste auf "Erstellen".
  7. Klicken Sie in der Liste Struktur auf HKEY_LOCAL_MACHINE.
  8. Klicken Sie in der Liste "Schlüsselpfad" auf "SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters".
  9. Geben Sie im Feld "Wertname" "MaxTokenSize" ein.
  10. Klicken Sie im Feld "Werttyp", um das Kontrollkästchen REG_DWORD zu aktivieren.
  11. Geben Sie im Feld "Wert" den Wert 48000 ein.
  12. Klicken Sie neben "Basis" auf das Kontrollkästchen "Dezimaltrennzeichen".
  13. Klicken Sie auf OK.

Notiz

Damit das Gruppenrichtlinienobjekt wirksam wird, muss die GPO-Änderung auf allen Domänencontrollern in der Domäne repliziert werden, und betroffene Computer müssen neu gestartet werden, nachdem sie die Richtlinie angewendet haben.

Konfigurieren des Registrierungseintrags "MaxTokenSize" mithilfe von GPO in Windows Server 2012

Führen Sie die folgenden Schritte aus, um den Wert des MaxTokenSize-Registrierungseintrags in einer Domäne mit Windows Server 2012-basierten Domänencontrollern bereitzustellen:

  1. Öffnen Sie Server-Manager, klicken Sie auf "Extras", und klicken Sie dann auf "Gruppenrichtlinienverwaltung", um die Gruppenrichtlinien-Verwaltungskonsole zu öffnen.
  2. Erstellen Sie in der Gruppenrichtlinien-Verwaltungskonsole ein neues Gruppenrichtlinienobjekt, das auf Domänenebene verknüpft ist oder mit der OU verknüpft ist, die Ihre Computerkonten enthält. Oder wählen Sie ein bereits bereitgestelltes Gruppenrichtlinienobjekt aus.
  3. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, und klicken Sie dann auf "Bearbeiten", um das Gruppenrichtlinienverwaltungs-Editor-Fenster zu öffnen.
  4. Erweitern Sie die Computerkonfiguration, erweitern Sie Richtlinien, und erweitern Sie dann administrative Vorlagen.
  5. Erweitern Sie das System, und klicken Sie dann auf Kerberos.
  6. Klicken Sie mit der rechten Maustaste auf "Maximale Größe des Kerberos-SSPI-Kontexttokenpuffers festlegen" im rechten Seitenbereich, und klicken Sie dann auf "Bearbeiten".
  7. Klicken Sie auf "Aktiviert", und geben Sie dann "48000" in das Feld "Maximale Größe" ein.
  8. Klicken Sie auf OK.

Notiz

  • Damit das Gruppenrichtlinienobjekt wirksam wird, muss die GPO-Änderung auf allen Domänencontrollern in der Domäne repliziert werden, und betroffene Computer müssen neu gestartet werden, nachdem sie die Richtlinie angewendet haben.

  • Die Richtlinieneinstellung "Maximale Kerberos-SSPI-Kontexttokengröße festlegen" wird in Windows Server 2012 und in Windows 8 hinzugefügt. Die Richtlinieneinstellung wird in Windows XP, in Windows Server 2003, in Windows Vista, in Windows Server 2008, in Windows 7 und in Windows Server 2008 R2 unterstützt. Um diese Gruppenrichtlinieneinstellung zu verwenden, müssen Sie das Gruppenrichtlinienobjekt in einer Version von Windows Server 2012 oder in Windows 8 bearbeiten, auf der die RSAT-Tools installiert sind.

References

Weitere Informationen zum Registrierungseintrag MaxTokenSize finden Sie unter der folgenden Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
327825 Neue Lösung für Probleme mit der Kerberos-Authentifizierung, wenn Benutzer zu vielen Gruppen gehören