Kerberos 票证过大时发出警告

使用此策略设置,可以配置将触发在 Kerberos 身份验证期间发出警告事件的 Kerberos 票证的大小。在系统日志中记录票证大小警告。

如果启用此策略设置,则可以为触发警告事件的 Kerberos 票证设置阈值限制。如果阈值设置得过高,则即使未记录警告事件,身份验证也可能会失败。 如果阈值设置得过低,则日志中会有过多票证警告用于分析。应该将该值设为 Kerberos 策略的"设置最大 Kerberos SSPI 上下文令牌缓冲区大小"的值,或你的环境中所使用的最小 MaxTokenSize 的值(如果未使用组策略进行配置)。

如果禁用或未配置此策略设置,则阈值的值默认为 12,000 字节,这是 Windows 7、Windows Server 2008 R2 和更早版本的默认 Kerberos MaxTokenSize。

支持的平台: Windows Server 2012、Windows 8 或 Windows RT 及以上版本

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
Value NameEnableTicketSizeThreshold
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

票证大小阈值

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
Value NameTicketSizeThreshold
Value TypeREG_DWORD
Default Value12000
Min Value12000
Max Value2147483647

kdc.admx

管理模板(计算机)

管理模板(用户)