问题
我们公司的(DBA)和web开发人员遇到用SQL Server Management Studio连接到SQL 实例(SQL instances)和用Windows集成身份验证(Windows Integrated Authentication)连接到其它SQL工具时出现的问题。 我们的公司很大,在Active Directory中拥有远远超过70000的用户和组。当我们查看SQL Server中的NT事件日志时,我们看到MSSQL和Kerberos两个错误。到底是什么造成了这些错误呢?
专家解答
当一个用户在Active Directory组中有很多成员,通常超过100个(这个数目包含明确的成员以及来自其它组的继承成员)时,这种情况会发生。尽管没有注册表项的默认值,但是MaxTokenSize的默认值为12000(十进制)。在绝大多数的组织机构里,这个大小是足够有余的。然而,在大型机构里,用户的tokens大于默认值。由于Kerberos不能接受损坏的tokens,身份验证会失败。如果你遇到这个问题,你将会看到两个错误信息,而这两个错误信息说明默认的MaxTokenSize是不足够的:
图一
NT error log entry from the MSSQL service
图二
(本文来源于图老师网站,更多请访问https://m.tulaoshi.com/bianchengyuyan/)Microsoft有一个名为TokenSZ的工具,它可以用于确定用户的MaxTokenSize。有一些转换可以用于这个工具,但计算最大token大小的一般语法是:
SampleTokenSZSyntax
E:tokensz/compute_tokensize/user:Administrator/domain:CULLENSOLUTIONS.com/password:OU812
ResultsofexecutingTOKENSZ
图三
在窗体顶部上方,你可以看到默认的token大小是12000。标红色的文本是这个网域管理实际最大的Token大小,这个大小远低于MaxToken的默认值。目前我被分配到的公司也遇到了MaxTokenSizes大小介于12000和15000的问题,所以需要做改动。
一个注册表项的修改或增补需要修改被服务器允许的默认MaxTokenSize大小。注册表改动的位置在
HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsaKerberosParameters部分。注意,执行TOKENSZ的服务器没有关于MaxTokenSize的表项。
图四
要创建注册表项,请打开注册表编辑器(Registry Editor)并点击Start - Run,接着键入regedit。一旦注册表编辑器打开,可浏览到
HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsaKerberosParameters部分。右键单击右侧的白色区域,并选择New - DWORD value:
图五
重命名注册表项为“MaxTokenSize”,双击编辑,选择Decimal并输入65535。
图六
任何服务器工作站或者与SQL Server交互的服务器都要求注册表项。此外,机器需要重新启动使更改生效。一旦重启发生,你可以再次执行TokenSZ来看看MaxTokenSize值是否已经改变。
图七
