TP PowerShell – Mesurer la taille de son token Kerberos-ActiveDirectory

La taille est un problème pour certains d’entre nous, ceux qui sont concernés savent de quoi je parle… Accès aléatoire aux ressources réseau, problème au logon, etc.
Bref ça rentre plus…

En effet jusqu’à Windows 2008R2 la taille du token Kerberos une infra Active Directory est par défaut limité à 12Ko (et 48Ko à partir de 8 et 2012). On peut très simplement changer ce réglage en réglant la clé de registre suivante sur les machines:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
    Entrée : MaxTokenSize
    Type de données : REG_DWORD
    Valeur : 48000
    Source : [MS KB938118](https://support.microsoft.com/fr-fr/kb/938118)

Le problème c’est qu’il est compliqué d’estimer la taille des tokens de vos utilisateurs pour anticiper les problèmes. Ces derniers ne sont d’ailleurs pas toujours évidents à détecter, car l’ordre des tickets stocké dans le token n’est pas déterministe, et Windows tronque ce qui dépasse quand c’est nécessaire : ainsi d’un logon à l’autre vous pouvez avoir des accès différents aux ressources accédées via des groupes AD.

Seul un Event Id 31 du KDC dans l’eventvwr vous permet d’avoir l’info quand le problème se présente. Pas mal d’info ici

Mais ce qu’on aimerait bien c’est de pouvoir connaître les utilisateurs qui posent problème ou vont bientôt poser problème. Et désormais c’est possible, car MS via M. Tim Springston, a eu la bonne idée de nous fournir un script pour ça :

CheckMaxTokenSize.ps1

Que vous trouverez ici

Qu’il est franchement facile d’adapter à vos besoins d’entreprises si vous touchez un peu en PowerShell (ce qui est sûrement le cas depuis que vous lisez mes articles)

Après usage on se rend compte de 2-3 trucs :

  •  La taille du token augmente beaucoup sur les infra 2012 par rapport à 2008R2 ;
  • ça reste une estimation, et pas la valeur exacte ; et
  • ça fait une sortie texte on aurait préféré une version objet.

En tout cas c’est bien que Microsoft est fourni ce script en 2014, ça manquait un poil.
Voilà, je vous laisse jouer avec et @++

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.