グループ ポリシーを使用して MaxTokenSize レジストリ エントリを複数のコンピューターに追加する方法

この記事では、グループ ポリシーを使用して MaxTokenSize レジストリ エントリを複数のコンピューターに追加する方法について説明します。

元の製品バージョン:   Windows Server 2012 R2、Windows Server 2008 R2 Service Pack 1
元の KB 番号:   938118

概要

Windows Server 2003、Windows Server 2008、Windows Server 2008 R2、または Windows Server 2012 を実行しているドメイン コントローラーでは、グループ ポリシーを使用して、次のレジストリ エントリを複数のコンピューターに追加できます。

キー: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
エントリ: MaxTokenSize
データ型: REG_DWORD
値: 48000

この記事では、この設定をドメインのすべてのメンバーに簡単にプッシュできる方法について説明します。 プロセスは、ドメイン コントローラーが実行されている Windows Server のバージョンによって異なります。

注意

MaxTokenSize の最大許容値は 65535 バイトです。 ただし、HTTP の認証コンテキスト トークンの base64 エンコードのため、maxTokenSize レジストリ エントリを 48000 バイトより大きい値に設定することをお勧めしません。 既定Windows Server 2012、MaxTokenSize レジストリ エントリの既定値は 48000 バイトです。

詳細情報

Windows Server 2003 でグループ ポリシー オブジェクト (GPO) を使用して MaxTokenSize を構成する方法

ドメイン内の複数のコンピューターにレジストリ エントリを追加するには、Windows Server 2012 ベースのドメイン コントローラーを持たない場合は、次の手順を実行します。

  1. MaxTokenSize レジストリ エントリ用の管理用テンプレート (ADM) ファイルを作成します。 これを行うには、次の手順を実行します。

    1. メモ帳を起動します。

    2. 次のテキストをコピーし、メモ帳に貼り付けます。

      クラス コンピューター

      CATEGORY !!KERB

      KEYNAME "SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters"
      POLICY !!MaxToken
      VALUENAME "MaxTokenSize"
      VALUEON NUMERIC 48000
      VALUEOFF NUMERIC 0
      ポリシーの終了

      終了カテゴリ

      [strings]
      KERB="Kerberos Maximum Token Size"
      MaxToken="Kerberos MaxTokenSize"

      注意

      MaxTokenSize レジストリ エントリの値は 48000 に設定されます。 これが推奨値です。

    3. 設定を展開するために GPO を構成するために使用するドメイン コントローラーの %windir%\Inf\ フォルダーに、メモ帳ドキュメントを MaxTokenSize.adm として保存します。

    4. メモ帳を終了します。

  2. ADM を GPO にインポートし、MaxTokenSize レジストリ エントリを目的の値に設定します。 これを行うには、次の手順を実行します。

    1. ドメイン レベルでリンクされている、またはコンピューター アカウントを含む組織単位 (OU) にリンクされた新しいグループ ポリシー オブジェクト (GPO) を作成します。 または、既に展開されている GPO を選択します。

    2. グループ ポリシー オブジェクト エディターを開きます。 これを行うには、[スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「gpedit.msc」と入力して、[OK] をクリックします。

    3. コンソール ツリーで、[コンピューターの構成] を展開し、[管理用テンプレート] を展開して、[管理用テンプレート] をクリックします。

    4. [操作] メニューの [すべてのタスク] をポイントし、[テンプレートの追加と削除] をクリックします。

    5. [追加] をクリックします。

    6. 手順 1 で作成した MaxTokenSize.adm ファイルをクリックして選択し、[開く] をクリックします。

    7. [閉じる] をクリックします。

    8. [表示] メニューの [フィルター処理] をクリックします。

    9. [完全に管理できるポリシー設定のみを表示する] チェック ボックスをオフにして、[OK] をクリックします。

    10. [管理用テンプレート] を展開し、[Kerberos の最大トークン サイズ] をクリックします。

    11. 右側のウィンドウで Kerberos MaxTokenSize を右クリックし、[プロパティ] をクリックして [プロパティ] ダイアログ ボックスを開きます。

    12. [有効] をクリックし、[OK] をクリックします。

      注意

      GPO を有効にするには、GPO の変更をドメイン内のすべてのドメイン コントローラーにレプリケートする必要があります。また、ポリシーを適用した後、影響を受けるコンピューターを再起動する必要があります。

Windows Server 2008 および Windows Server 2008 で GPO を使用して MaxTokenSize レジストリ エントリを構成するWindows Server 2008 R2

Windows Server 2008 ドメインと Windows Server 2008 R2 ドメインでは、レジストリ Client-Side Extension を使用して、1 つのドメイン内の複数のコンピューターに MaxTokenSize レジストリ値を展開できます。 GPO で MaxTokenSize 値の設定を作成するには、次の手順を実行します。

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックし、「gpmc.msc」と入力し、[OK] をクリックしてグループ ポリシー管理コンソールを開きます。
  2. グループ ポリシー管理コンソールで、ドメイン レベルでリンクされている、またはコンピューター アカウントを含む OU にリンクされた新しい GPO を作成します。 または、既に展開されている GPO を選択することもできます。
  3. GPO を右クリックし、[編集] をクリックしてグループ ポリシー管理エディター ウィンドウを開きます。
  4. [コンピューターの構成] を展開し、[基本設定] を展開して、[Windows の設定] を展開します。
  5. [レジストリ] を右クリックし、[新規] をポイントして、[レジストリ 項目] をクリックします。 [新しいレジストリのプロパティ] ダイアログ ボックスが表示されます。
  6. [アクション] ボックスの一覧で、[作成] をクリックします。
  7. [ハイブ] ボックスの一覧で、[次のHKEY_LOCAL_MACHINE。
  8. キー パスの一覧で、[SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters] をクリックします。
  9. [値の名前] ボックスに「MaxTokenSize」と入力します。
  10. [値の種類] ボックスで、このチェック ボックスをオンREG_DWORDクリックします。
  11. [値] データ ボックスに「48000」と入力します。
  12. [Base] の横にある [Decimal] チェック ボックスをオンにします。
  13. [OK] をクリックします。

注意

GPO を有効にするには、GPO の変更をドメイン内のすべてのドメイン コントローラーにレプリケートし、影響を受けるコンピューターがポリシーを適用した後に再起動する必要があります。

GPO を使用して MaxTokenSize レジストリ エントリを構成するWindows Server 2012

MaxTokenSize レジストリ エントリの値を、Windows Server 2012 ベースのドメイン コントローラーを持つドメインに展開するには、次の手順を実行します。

  1. サーバー マネージャーを開き、[ツール] をクリックし、[グループ ポリシーの管理] をクリックしてグループ ポリシー管理コンソールを開きます。
  2. グループ ポリシー管理コンソールで、ドメイン レベルでリンクされている、またはコンピューター アカウントを含む OU にリンクされた新しい GPO を作成します。 または、既に展開されている GPO を選択します。
  3. GPO を右クリックし、[編集] をクリックしてグループ ポリシー管理エディター ウィンドウを開きます。
  4. [コンピューターの構成] を展開し、[ポリシー] を展開して、[管理用テンプレート] を展開します。
  5. [システム] を展開し、[Kerberos] をクリックします。
  6. 右側のウィンドウで [Kerberos SSPI コンテキスト トークンバッファーの最大サイズを設定する] を右クリックし、[編集] をクリックします。
  7. [有効] をクリックし、[最大サイズ] ボックスに「48000」と入力します。
  8. [OK] をクリックします。

注意

  • GPO を有効にするには、GPO の変更をドメイン内のすべてのドメイン コントローラーにレプリケートし、影響を受けるコンピューターがポリシーを適用した後に再起動する必要があります。

  • [最大 Kerberos SSPI コンテキスト トークン バッファー サイズの設定] ポリシー設定は、Windows Server 2012 および Windows 8。 ポリシー設定は、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、および Windows Server 2008 R2 でサポートされています。 このグループ ポリシー設定を使用するには、RSAT ツールがインストールされているバージョンの Windows Server 2012 または Windows 8 で GPO を編集する必要があります。

関連情報

MaxTokenSize レジストリ エントリの詳細については、次の記事番号をクリックして、マイクロソフト サポート技術情報の記事を表示してください。
327825 ユーザーが多くのグループに属している場合の Kerberos 認証に関する問題の新しい解決方法