Compression du KDC Resource SID (fr-FR)
La compression du KDC Resource SID est une fonctionnalité introduite à partir de Windows Server 2012 R2 pour les contrôleurs de domaine ayant la même version.
Son objectif est de minimiser le risque d’avoir des échecs au niveau de l’authentification Kerberos sur les applications quand un utilisateur fait partie de plusieurs groupes.
Pourquoi un utilisateur peut faire face à des échecs d’authentification Kerberos quand il appartient à plusieurs groups?
Kerberos utilise un tampon pour stocker les informations d’autorisation. Ce tampon a une taille maximale qui est utilisée par les protocoles tel que RPC et http pour l’allocation de mémoire pour l’authentification. Si la taille est dépassée alors l’authentification va échouer en utilisant ces protocoles.
Sur les systèmes Windows, la taille maximale du buffer est stockée dans l’entrée de registre **MaxTokenSize **et a les valeur par défaut suivantes.
MaxTokenSize
Operating System |
MaxTokenSize (bytes) |
Windows 2000 (Original release version) |
8000 |
Windows 2000 Service Pack 2 |
12000 |
Windows Server 2003 |
12000 |
Windows Server 2003 R2 |
12000 |
Windows Server 2008 |
12000 |
Windows Server 2008 R2 |
12000 |
Windows Server 2012 |
48000 |
Pour plus d’informations
Problems with Kerberos authentication when a user belongs to many groups:
http://support.microsoft.com/kb/327825/en-us
.
Qu’est ce que c’est que la compression du KDC Resource SID?
KDC (Key Distribution Center) crée des tickets de service pour les être utilisées par clients pour l’authentification et l’établissement des sessions de service avec les serveurs. Les tickets de service contiennent les resource SIDs dont la fonctionnalisé Resource SID Compression permet leur compression afin d’optimiser leur taille dans les tickets.
En fait, le KDC se comporte comme suit:
KDC Resource SID Compression activé |
KDC Resource SID Compression désactivé |
|
Comment les resource SIDs sont stockés |
Le KDC stocke le resource domain SID et insère uniquement la portion RID des SIDs ajoutés par le domaine source |
Le KDC stocke tous les SIDs ajoutés par le domaine source |
Champ utilisateur |
ResourceGroupIds |
Extra-SID |
Pour plus d’informations
Management of SIDs in Active Directory: http://social.technet.microsoft.com/wiki/contents/articles/20590.management-of-sids-in-active-directory.aspx
En suivant cette approche, la taille du tampon utilisée pour stocker les informations d’autorisation va diminuer d’une manière significative tout en réduisant le risqué de dépasser la taille maximale du tampon.
Quels sont les problèmes connus de la fonctionnalité de compression du KDC Resource SID?
Microsoft a déjà identifié que la fonctionnalité KDC Resource SID peut causer des problèmes d’authentification sur les équipements NAS.
Les systèmes qui ne comprennent pas comment la compression est faite peuvent subir des problèmes d’authentification.
Pour plus d’informations
Resource SID Compression in Windows Server 2012 may cause authentication problems on NAS devices:
http://support.microsoft.com/kb/2774190/en-us
Est-il possible de désactiver la fonctionnalité compression du disable KDC Resource SID sur les contrôleurs du domaine?
Par default, la fonctionnalité compression KDC Resource SID Compression est active sur les nouveaux serveurs Windows Server 2012.
Cette dernière peut être désactivée en mettant à jour l’entrée de registre **DisableResourceGroupsFields ** et la rendant égale à 1 (Se trouve sous la clé de registre HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kdc\Parameters).
Voir aussi
- SID Compression** **
Autres langues
Cet article est disponible dans d'autres langues.