All posts by blog@langlitz-it.de

Policies werden nicht angewendet / Anmeldung nicht erfolgreich

Es kann unter Umständen vorkommen, dass Policies für einzelne Benutzer nicht angewendet werden. Dies kann natürlich immer gefühlte eine Millionen Ursachen haben. In diesem Beispiel ist aber die Anzahl der Gruppenmitgliedschaften eines Benutzers, bzw. eines Security Principals die Ursache. Microsoft gibt an, dass ab 1015 Mitgliedschaften (Verschachtelungen mitgerechnet) eine Anmeldung nicht mehr erfolgreich ist. Allerdings kann es vorher schon bei einer “large number” (typisch MS) dazu kommen, dass Policies für dieses Objekt nicht mehr angewendet werden. Das alles geschieht, weil die zulässige Größe des ausgestellten Kerberos Tokens überschritten wird. Dieser Fehler tritt bei allen AD Betriebssystemen inkl. Windows 2008 auf. Für 2000 ist ein Patch von MS erforderlich. Im SP2 für W2K soll dieser enthalten sein. Es muss dann per Registrykey die MaxTokenSize des Kerberos Tokens erhöht werden. Dieser Key ist auf allen betroffenen Clients erforderlich. Ein Reboot der betroffenen Maschinen muss natürlich auch noch gemacht werden, aber damit funktioniert das dann wieder.
[HKEY_LOCAL_MACHINE]\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters]
“MaxTokenSize”=dword:65535