Ошибка Event ID 6, 15, Security-Kerberos (MaxTokenSize)
Симптомы: пользователю не доступны сетевые ресурсы, сервисы при наличии соответствующих прав.
В системном журнале Windows регистрируются события:
Event ID 6
Пакет kerberos SSPI создал выходной токен размером 12025 байт, который слишком велик для помещения в буфер токенов размером 12000 байт, предоставленный процессом с ИД 4.Выходной токен SSPI обычно имеет слишком большой размер в том случае, когда пользователь является user@SPECNIX.CORP членом большого числа групп.
Рекомендуется уменьшить число групп, к которым принадлежит пользователь. Если не удается решить проблему, уменьшив число групп, в которые входит данный пользователь, попросите системного администратора увеличить максимальный размер токена, который настраивается для компьютера с помощью следующего ключа реестра: HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters\MaxTokenSize.
Event ID 15
Пакет kerberos SSPI создал выходной токен размером 12026 байт, который слишком велик для помещения в буфер токенов размером 12000 байт, предоставленный процессом с ИД 4.Необходимо исправить приложение, чтобы получить буфер токенов размером не менее 48000 байт.
Проблема проявляется на ОС Windows 2k8r2/7 и ниже и обусловлена низким значением MaxTicketSize который в указанных системах по умолчанию соответствует 12 Кб. В системах Windows 2012/8 и выше по умолчанию установлено значение в 48 Кб.
Одна из причин превышения билетом Kerberos установленных значение это большое количество групп (в том числе вложенных) в которых состоит пользователь.
Что бы убрать ограничение в 12 Кб требуется внести изменения в реестр путем создания групповой политики.
1 2 3 4 5 6 7 8 9 10 11 |
Computer Configuration -> Preferences -> Windows Settings -> Registry New -> Registry Item Action: Update Hive: HKEY_LOCAL_MACHINE Key Path: SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters Value Name: MaxTokenSize Base: Decimal Value Type: REG_DWORD Value Data: 48000 |
После применения групповой политики требуется перезагрузить компьютер, иначе, перегрузите компьютер дважды: один раз для применения политики на ПК, второй раз для применения новых значений сервисами.
Kerbiros поправь
Поправил