Compartir a través de

Uso de la directiva de grupo para agregar la entrada del Registro MaxTokenSize a varios equipos

En este artículo se describe cómo usar la directiva de grupo para agregar la entrada del Registro MaxTokenSize a varios equipos.

Número de KB original: 938118

Introducción

En un controlador de dominio que ejecuta Windows Server 2003, Windows Server 2008, Windows Server 2008 R2 o Windows Server 2012, puede usar la directiva de grupo para agregar la siguiente entrada del Registro a varios equipos:

Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Entrada: MaxTokenSize
Tipo de datos: REG_DWORD
Valor: 48000

En este artículo se describe cómo hacerlo para que pueda insertar esta configuración en todos los miembros de los dominios fácilmente. El proceso es diferente, en función de la versión de Windows Server en la que se ejecuta el controlador de dominio.

Nota:

El valor máximo permitido de MaxTokenSize es de 65535 bytes. Sin embargo, debido a la codificación base64 de HTTP de tokens de contexto de autenticación, no se recomienda establecer la entrada del registro maxTokenSize en un valor superior a 48000 bytes. A partir de Windows Server 2012, el valor predeterminado de la entrada del Registro MaxTokenSize es de 48000 bytes.

Más información

Cómo configurar MaxTokenSize mediante el objeto de directiva de grupo (GPO) en Windows Server 2003

Para agregar la entrada del Registro a varios equipos de un dominio que no tenga un controlador de dominio basado en Windows Server 2012, siga estos pasos:

  1. Cree un archivo de plantilla administrativa (ADM) para la entrada del Registro MaxTokenSize. Para ello, siga estos pasos:

    1. Inicie el Bloc de notas.

    2. Copie el texto siguiente y, a continuación, pegue el texto en el Bloc de notas:

      MÁQUINA DE CLASES

      ¡¡CATEGORÍA!! BORDILLO

      KEYNAME "SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters"
      ¡¡POLÍTICA!! MaxToken
      VALUENAME "MaxTokenSize"
      VALUEON NUMERIC 48000
      VALUEOFF NUMERIC 0
      END POLICY

      END CATEGORY

      [cadenas]
      KERB="Tamaño máximo de token de Kerberos"
      MaxToken="Kerberos MaxTokenSize"

      Nota:

      El valor de la entrada del Registro MaxTokenSize se establece en 48000. Este es el valor sugerido.

    3. Guarde el documento del Bloc de notas como MaxTokenSize.adm en la carpeta %windir%\Inf\ del controlador de dominio que usará para configurar el GPO para implementar la configuración.

    4. Salga del Bloc de notas.

  2. Importe el ADM en un GPO y establezca la entrada del Registro MaxTokenSize en el valor deseado. Para ello, siga estos pasos:

    1. Cree un nuevo objeto de directiva de grupo (GPO) que esté vinculado en el nivel de dominio o que esté vinculado a la unidad organizativa (OU) que contiene las cuentas de equipo. O bien, seleccione un GPO que ya esté implementado.

    2. Abra el Editor de objetos de directiva de grupo. Para ello, haga clic en Inicio, haga clic en Ejecutar, escriba gpedit.msc y, a continuación, haga clic en Aceptar.

    3. En el árbol de consola, expanda Configuración del equipo, expanda Plantillas administrativasy, a continuación, haga clic en Plantillas administrativas.

    4. En el menú Acción, seleccione Todas las tareas y, a continuación, haga clic en Agregar o quitar plantillas.

    5. Haga clic en Agregar.

    6. Haga clic para seleccionar el archivo MaxTokenSize.adm que creó en el paso 1 y, a continuación, haga clic en Abrir.

    7. Haga clic en Cerrar.

    8. En el menú Ver, haga clic en Filtrado.

    9. Haga clic para desactivar la casilla Mostrar solo la configuración de directiva que se puede administrar completamente y, a continuación, haga clic en Aceptar.

    10. Expanda Plantillas administrativas y, a continuación, haga clic en Tamaño máximo de token kerberos.

    11. Haga clic con el botón derecho en Kerberos MaxTokenSize en el panel derecho y, a continuación, haga clic en Propiedades para abrir el cuadro de diálogo Propiedades.

    12. Haga clic en Habilitada y, a continuación, haga clic en Aceptar.

      Nota:

      Para que el GPO surta efecto, el cambio de GPO debe replicarse en todos los controladores de dominio del dominio y los equipos afectados deben reiniciarse después de aplicar la directiva a ellos.

Cómo configurar la entrada del Registro MaxTokenSize mediante GPO en Windows Server 2008 y en Windows Server 2008 R2

En dominios de Windows Server 2008 y en dominios de Windows Server 2008 R2, puede usar la extensión del lado cliente del Registro para implementar el valor del Registro MaxTokenSize en varios equipos de un dominio. Para crear la configuración de valor MaxTokenSize en un GPO, siga estos pasos:

  1. Haga clic en Inicio, haga clic en Ejecutar, escriba gpmc.msc y, a continuación, haga clic en Aceptar para abrir la Consola de administración de directivas de grupo.
  2. En la Consola de administración de directivas de grupo, cree un GPO que esté vinculado en el nivel de dominio o que esté vinculado a la unidad organizativa que contiene las cuentas de equipo. O puedes seleccionar un GPO que ya esté implementado.
  3. Haga clic con el botón derecho en el GPO y, a continuación, haga clic en Editar para abrir la ventana Editor de administración de directivas de grupo.
  4. Expande Configuración del equipo, expande Preferencias y, a continuación, expande Configuración de Windows.
  5. Haga clic con el botón derecho en Registro, seleccione Nuevoy, a continuación, haga clic en Elemento del Registro. Aparece el cuadro de diálogo Nuevas propiedades de Registro.
  6. En la lista Acción, haga clic en Crear.
  7. En la lista de Hive, haga clic en HKEY_LOCAL_MACHINE.
  8. En la lista Ruta de acceso de la clave, haga clic en SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.
  9. En el cuadro Nombre de valor, escriba MaxTokenSize.
  10. En el cuadro Tipo de valor, haga clic para activar la casilla REG_DWORD.
  11. En el cuadro Datos de valor, escriba 48000.
  12. Junto a Base, haga clic para activar la casilla Decimal.
  13. Haga clic en Aceptar.

Nota:

Para que el GPO surta efecto, el cambio de GPO debe replicarse en todos los controladores de dominio del dominio y los equipos afectados deben reiniciarse después de aplicar la directiva.

Configuración de la entrada del Registro MaxTokenSize mediante GPO en Windows Server 2012

Para implementar el valor de la entrada del Registro MaxTokenSize en un dominio que tenga controladores de dominio basados en Windows Server 2012, siga estos pasos:

  1. Abra Administrador del servidor, haga clic en Herramientasy, a continuación, haga clic en Administración de directivas de grupo para abrir la consola de administración de directivas de grupo.
  2. En la Consola de administración de directivas de grupo, cree un GPO que esté vinculado en el nivel de dominio o que esté vinculado a la unidad organizativa que contiene las cuentas de equipo. O bien, seleccione un GPO que ya esté implementado.
  3. Haga clic con el botón derecho en el GPO y, a continuación, haga clic en Editar para abrir la ventana Editor de administración de directivas de grupo.
  4. Expanda Configuración del equipo, Expanda Directivasy, a continuación, expanda Plantillas administrativas.
  5. Expanda Sistema y, a continuación, haga clic en Kerberos.
  6. Haga clic con el botón derecho en Establecer el tamaño máximo del búfer de token de contexto de Kerberos SSPI en el panel derecho y, a continuación, haga clic en Editar.
  7. Haga clic en Habilitadoy, a continuación, escriba 48000 en el cuadro Tamaño máximo.
  8. Haga clic en Aceptar.

Nota:

  • Para que el GPO surta efecto, el cambio de GPO debe replicarse en todos los controladores de dominio del dominio y los equipos afectados deben reiniciarse después de aplicar la directiva.

  • La configuración de directiva Establecer el tamaño máximo del búfer de token de contexto de Kerberos SSPI se agrega en Windows Server 2012 y en Windows 8. La configuración de directiva se admite en Windows XP, en Windows Server 2003, en Windows Vista, en Windows Server 2008, en Windows 7 y en Windows Server 2008 R2. Para usar esta configuración de directiva de grupo, debe editar el GPO en una versión de Windows Server 2012 o en Windows 8 que tenga instaladas las herramientas de RSAT.

Referencias

Para obtener más información sobre la entrada del Registro MaxTokenSize, haga clic en el número de artículo siguiente para ver el artículo en Microsoft Knowledge Base:
327825 Nueva resolución para problemas con la autenticación Kerberos cuando los usuarios pertenecen a muchos grupos