Ошибка Event ID 6, 15, Security-Kerberos (MaxTokenSize)

Симптомы: пользователю не доступны сетевые ресурсы, сервисы при наличии соответствующих прав.

В системном журнале Windows регистрируются события:

Event ID 6
Пакет kerberos SSPI создал выходной токен размером 12025 байт, который слишком велик для помещения в буфер токенов размером 12000 байт, предоставленный процессом с ИД 4.

Выходной токен SSPI обычно имеет слишком большой размер в том случае, когда пользователь является user@SPECNIX.CORP членом большого числа групп.

Рекомендуется уменьшить число групп, к которым принадлежит пользователь. Если не удается решить проблему, уменьшив число групп, в которые входит данный пользователь, попросите системного администратора увеличить максимальный размер токена, который настраивается для компьютера с помощью следующего ключа реестра: HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters\MaxTokenSize.

Event ID 15
Пакет kerberos SSPI создал выходной токен размером 12026 байт, который слишком велик для помещения в буфер токенов размером 12000 байт, предоставленный процессом с ИД 4.

Необходимо исправить приложение, чтобы получить буфер токенов размером не менее 48000 байт.

Проблема проявляется на ОС Windows 2k8r2/7 и ниже и обусловлена низким значением MaxTicketSize который в указанных системах по умолчанию соответствует 12 Кб. В системах Windows 2012/8 и выше по умолчанию установлено значение в 48 Кб.
Одна из причин превышения билетом Kerberos установленных значение это большое количество групп (в том числе вложенных) в которых состоит пользователь.

Что бы убрать ограничение в 12 Кб требуется внести изменения в реестр путем создания групповой политики.

После применения групповой политики требуется перезагрузить компьютер, иначе, перегрузите компьютер дважды: один раз для применения политики на ПК, второй раз для применения новых значений сервисами.

2 комментария to “Ошибка Event ID 6, 15, Security-Kerberos (MaxTokenSize)”


Добавить комментарий для admin Отменить ответ

Ваш адрес email не будет опубликован. Обязательные поля помечены *