グループ ポリシーを使用して MaxTokenSize レジストリ エントリを複数のコンピューターに追加する方法

  • [アーティクル]

この記事では、グループ ポリシーを使用して MaxTokenSize レジストリ エントリを複数のコンピューターに追加する方法について説明します。

適用対象: Windows Server 2012 R2、Windows Server 2008 R2 Service Pack 1
元の KB 番号: 938118

概要

Windows Server 2003、Windows Server 2008、Windows Server 2008 R2、またはWindows Server 2012を実行しているドメイン コントローラーでは、グループ ポリシーを使用して、次のレジストリ エントリを複数のコンピューターに追加できます。

キー: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
エントリ: MaxTokenSize
データ型: REG_DWORD
値: 48000

この記事では、この設定をドメインのすべてのメンバーに簡単にプッシュできるように、その方法について説明します。 プロセスは、ドメイン コントローラーが実行されている Windows Server のバージョンによって異なります。

注:

MaxTokenSize の最大値は 65535 バイトです。 ただし、認証コンテキスト トークンの HTTP の base64 エンコードのため、maxTokenSize レジストリ エントリを 48000 バイトより大きい値に設定することはお勧めしません。 Windows Server 2012以降、MaxTokenSize レジストリ エントリの既定値は 48,000 バイトです。

詳細

Windows Server 2003 で グループ ポリシー オブジェクト (GPO) を使用して MaxTokenSize を構成する方法

Windows Server 2012 ベースのドメイン コントローラーを持たないドメイン内の複数のコンピューターにレジストリ エントリを追加するには、次の手順に従います。

  1. MaxTokenSize レジストリ エントリの管理用テンプレート (ADM) ファイルを作成します。 これを行うには、次の手順に従います。

    1. メモ帳を起動します。

    2. 次のテキストをコピーし、テキストをメモ帳に貼り付けます。

      クラス マシン

      カテゴリ!!縁 石

      KEYNAME "SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters"
      ポリシー!!MaxToken
      VALUENAME "MaxTokenSize"
      VALUEON NUMERIC 48000
      VALUEOFF NUMERIC 0
      END POLICY

      END カテゴリ

      [strings]
      KERB="Kerberos 最大トークン サイズ"
      MaxToken="Kerberos MaxTokenSize"

      注:

      MaxTokenSize レジストリ エントリの値は 48000 に設定されます。 これは推奨される値です。

    3. 設定を展開するための GPO の構成に使用するドメイン コントローラーの %windir%\Inf\ フォルダーに、メモ帳ドキュメントを MaxTokenSize.adm として保存します。

    4. メモ帳を終了します。

  2. ADM を GPO にインポートし、MaxTokenSize レジストリ エントリを目的の値に設定します。 これを行うには、次の手順に従います。

    1. ドメイン レベルでリンクされているか、コンピューター アカウントを含む組織単位 (OU) にリンクされている新しいグループ ポリシー オブジェクト (GPO) を作成します。 または、既に展開されている GPO を選択します。

    2. グループ ポリシー オブジェクト エディターを開きます。 これを行うには、[スタート] をクリックし、[実行] をクリックし、「gpedit.msc」と入力して、[OK] をクリックします。

    3. コンソール ツリーで、[コンピューターの構成] を展開し、[管理用テンプレート] を展開して、[管理用テンプレート] をクリックします。

    4. [アクション] メニューの [すべてのタスク] をポイントし、[テンプレートの追加と削除] をクリックします。

    5. [追加] をクリックします。

    6. 手順 1 で作成した MaxTokenSize.adm ファイルをクリックして選択し、[開く] をクリックします。

    7. [閉じる] をクリックします。

    8. [表示] メニューの [フィルター処理] をクリックします。

    9. [フル マネージド チェックできるポリシー設定のみを表示する] ボックスをオフにし、[OK] をクリックします。

    10. [管理用テンプレート] を展開し、[Kerberos の最大トークン サイズ] をクリックします。

    11. 右側のウィンドウで [Kerberos MaxTokenSize] を右クリックし、[プロパティ] をクリックして [プロパティ] ダイアログ ボックスを開きます。

    12. [有効] をクリックし、[OK] をクリックします。

      注:

      GPO を有効にするには、GPO の変更をドメイン内のすべてのドメイン コントローラーにレプリケートする必要があります。また、ポリシーが適用された後、影響を受けるコンピューターを再起動する必要があります。

Windows Server 2008 および Windows Server 2008 R2 で GPO を使用して MaxTokenSize レジストリ エントリを構成する方法

Windows Server 2008 ドメインと Windows Server 2008 R2 ドメインでは、レジストリ Client-Side 拡張機能を使用して、ドメイン内の複数のコンピューターに MaxTokenSize レジストリ値を展開できます。 GPO で MaxTokenSize 値の設定を作成するには、次の手順に従います。

  1. [スタート] をクリックし、[実行] をクリックし、「gpmc.msc」と入力し、[OK] をクリックしてグループ ポリシー管理コンソールを開きます。
  2. グループ ポリシー管理コンソールで、ドメイン レベルでリンクされているか、コンピューター アカウントを含む OU にリンクされている新しい GPO を作成します。 または、既に展開されている GPO を選択することもできます。
  3. GPO を右クリックし、[編集] をクリックしてグループ ポリシー管理エディター ウィンドウを開きます。
  4. [コンピューターの構成] を展開し、[基本設定] を展開し、[Windows 設定] を展開します。
  5. [レジストリ] を右クリックし、[新規] をポイントし、[レジストリ項目] をクリックします。 [新しいレジストリのプロパティ] ダイアログ ボックスが表示されます。
  6. [アクション] ボックスの一覧で、[作成] をクリックします。
  7. [Hive] ボックスの一覧で、[HKEY_LOCAL_MACHINE] をクリックします。
  8. [キー パス] ボックスの一覧で、[SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters] をクリックします。
  9. [値の名前] ボックスに「MaxTokenSize」と入力します。
  10. [値の種類] ボックスで、[REG_DWORD チェック] ボックスをクリックして選択します。
  11. [値データ] ボックスに「48000」と入力します。
  12. [基本] の横にある [Decimal チェック] ボックスをクリックして選択します。
  13. [OK] をクリックします。

注:

GPO を有効にするには、GPO の変更をドメイン内のすべてのドメイン コントローラーにレプリケートする必要があり、影響を受けるコンピューターはポリシーを適用した後に再起動する必要があります。

Windows Server 2012で GPO を使用して MaxTokenSize レジストリ エントリを構成する方法

Windows Server 2012 ベースのドメイン コントローラーを持つドメインに MaxTokenSize レジストリ エントリの値をデプロイするには、次の手順を実行します。

  1. サーバー マネージャーを開き、[ツール] をクリックし、[グループ ポリシー管理] をクリックしてグループ ポリシー管理コンソールを開きます。
  2. グループ ポリシー管理コンソールで、ドメイン レベルでリンクされているか、コンピューター アカウントを含む OU にリンクされている新しい GPO を作成します。 または、既に展開されている GPO を選択します。
  3. GPO を右クリックし、[編集] をクリックしてグループ ポリシー管理エディター ウィンドウを開きます。
  4. [コンピューターの構成] を展開し、[ポリシー] を展開し、[管理用テンプレート] を展開します。
  5. [システム] を展開し、[Kerberos] をクリックします。
  6. 右側のウィンドウで [最大 Kerberos SSPI コンテキスト トークン バッファー サイズの設定] を右クリックし、[編集] をクリックします。
  7. [有効] をクリックし、[最大サイズ] ボックスに「48000」と入力します。
  8. [OK] をクリックします。

注:

  • GPO を有効にするには、GPO の変更をドメイン内のすべてのドメイン コントローラーにレプリケートする必要があり、影響を受けるコンピューターはポリシーを適用した後に再起動する必要があります。

  • [最大 Kerberos SSPI コンテキスト トークン バッファー サイズの設定] ポリシー設定は、Windows Server 2012 と Windows 8 に追加されます。 このポリシー設定は、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、および Windows Server 2008 R2 でサポートされています。 このグループ ポリシー設定を使用するには、バージョンのWindows Server 2012または RSAT ツールがインストールされているWindows 8で GPO を編集する必要があります。

関連情報

MaxTokenSize レジストリ エントリの詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を表示してください。
327825 ユーザーが多数のグループに属している場合の Kerberos 認証に関する問題の新しい解決策