La taille est un problème pour certains d’entre nous, ceux qui sont concernés savent de quoi je parle… Accès aléatoire aux ressources réseau, problème au logon, etc.
Bref ça rentre plus…
En effet jusqu’à Windows 2008R2 la taille du token Kerberos une infra Active Directory est par défaut limité à 12Ko (et 48Ko à partir de 8 et 2012). On peut très simplement changer ce réglage en réglant la clé de registre suivante sur les machines:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters Entrée : MaxTokenSize Type de données : REG_DWORD Valeur : 48000 Source : [MS KB938118](https://support.microsoft.com/fr-fr/kb/938118)
Le problème c’est qu’il est compliqué d’estimer la taille des tokens de vos utilisateurs pour anticiper les problèmes. Ces derniers ne sont d’ailleurs pas toujours évidents à détecter, car l’ordre des tickets stocké dans le token n’est pas déterministe, et Windows tronque ce qui dépasse quand c’est nécessaire : ainsi d’un logon à l’autre vous pouvez avoir des accès différents aux ressources accédées via des groupes AD.
Seul un Event Id 31 du KDC dans l’eventvwr vous permet d’avoir l’info quand le problème se présente. Pas mal d’info ici
Mais ce qu’on aimerait bien c’est de pouvoir connaître les utilisateurs qui posent problème ou vont bientôt poser problème. Et désormais c’est possible, car MS via M. Tim Springston, a eu la bonne idée de nous fournir un script pour ça :
CheckMaxTokenSize.ps1
Que vous trouverez ici
Qu’il est franchement facile d’adapter à vos besoins d’entreprises si vous touchez un peu en PowerShell (ce qui est sûrement le cas depuis que vous lisez mes articles)
Après usage on se rend compte de 2-3 trucs :
- La taille du token augmente beaucoup sur les infra 2012 par rapport à 2008R2 ;
- ça reste une estimation, et pas la valeur exacte ; et
- ça fait une sortie texte on aurait préféré une version objet.
En tout cas c’est bien que Microsoft est fourni ce script en 2014, ça manquait un poil.
Voilà, je vous laisse jouer avec et @++