为SQL Server Authentication配置MaxTokenSize

  当一个用户在Active Directory组中有很多成员,通常超过100个(这个数目包含明确的成员以及来自其它组的继承成员)时,这种情况会发生。尽管没有注册表项的默认值,但是MaxTokenSize的默认值为12000(十进制)。在绝大多数的组织机构里,这个大小是足够有余的。然而,在大型机构里,用户的tokens大于默认值。由于Kerberos不能接受损坏的tokens,身份验证会失败。如果你遇到这个问题,你将会看到两个错误信息,而这两个错误信息说明默认的MaxTokenSize是不足够的:

  Microsoft有一个名为TokenSZ的工具,它可以用于确定用户的MaxTokenSize。有一些转换可以用于这个工具,但计算最大token大小的一般语法是:

  在窗体顶部上方,你可以看到默认的token大小是12000。标红色的文本是这个网域管理实际最大的Token大小,这个大小远低于MaxToken的默认值。目前我被分配到的公司也遇到了MaxTokenSizes大小介于12000和15000的问题,所以需要做改动。

  一个注册表项的修改或增补需要修改被服务器允许的默认MaxTokenSize大小。注册表改动的位置在

  要创建注册表项,请打开注册表编辑器(Registry Editor)并点击Start ->

  Run,接着键入regedit。一旦注册表编辑器打开,可浏览到

  任何服务器工作站或者与SQL Server交互的服务器都要求注册表项。此外,机器需要重新启动使更改生效。一旦重启发生,你可以再次执行TokenSZ来看看MaxTokenSize值是否已经改变。

相关阅读