Home  Tutorials  Active Directory


Compression du KDC Resource SID (FR)

La compression du KDC Resource SID est une fonctionnalité introduite à partir de Windows Server 2012 R2 pour les contrôleurs de domaine ayant la même version.

Son objectif est de minimiser le risque d’avoir des échecs au niveau de l’authentification Kerberos sur les applications quand un utilisateur fait partie de plusieurs groupes.

Pourquoi un utilisateur peut faire face à des échecs d’authentification Kerberos quand il appartient à plusieurs groups?

Kerberos utilise un tampon pour stocker les informations d’autorisation. Ce tampon a une taille maximale qui est utilisée par les protocoles tel que RPC et http pour l’allocation de mémoire pour l’authentification. Si la taille est dépassée alors l’authentification va échouer en utilisant ces protocoles.

Sur les systèmes Windows, la taille maximale du buffer est stockée dans l’entrée de registre MaxTokenSize et a les valeur par défaut suivantes.

MaxTokenSize

Operating System

MaxTokenSize (bytes)

Windows 2000 (Original release version)

8000

Windows 2000 Service Pack 2

12000

Windows Server 2003

12000

Windows Server 2003 R2

12000

Windows Server 2008

12000

Windows Server 2008 R2

12000

Windows Server 2012

48000

Pour plus d’informations

Problems with Kerberos authentication when a user belongs to many


Qu’est ce que c’est que la compression du KDC Resource SID?

KDC (Key Distribution Center) crée des tickets de service pour les être utilisées par clients pour l’authentification et l’établissement des sessions de service avec les serveurs. Les tickets de service contiennent les resource SIDs dont la fonctionnalisé Resource SID Compression permet leur compression afin d’optimiser leur taille dans les tickets.

En fait, le KDC se comporte comme suit:

KDC Resource SID Compression activé

KDC Resource SID Compression désactivé

Comment les resource SIDs sont stockés

Le KDC stocke le resource domain SID et insère uniquement la portion RID des SIDs ajoutés par le domaine source

Le KDC stocke tous les SIDs ajoutés par le domaine source

Champ utilisateur

ResourceGroupIds

Extra-SID



Pour plus d’informations

Management of SIDs in Active Directory:  doc.asp?docid=1748&mcat=4&mrub=41&msrub=63

En suivant cette approche, la taille du tampon utilisée pour stocker les informations d’autorisation va diminuer d’une manière significative tout en réduisant le risqué de dépasser la taille maximale du tampon.

Quels sont les problèmes connus de la fonctionnalité de compression du KDC Resource SID?

Microsoft a déjà identifié que la fonctionnalité KDC Resource SID peut causer des problèmes d’authentification sur les équipements NAS.

Les systèmes qui ne comprennent pas comment la compression est faite peuvent subir des problèmes d’authentification.

Pour plus d’informations

Resource SID Compression in Windows Server 2012 may cause authentication problems on NAS devices: directdoc.asp?docid=1756

Est-il possible de désactiver la fonctionnalité compression du disable KDC Resource SID sur les contrôleurs du domaine?

Par default, la fonctionnalité compression KDC Resource SID Compression est active sur les nouveaux serveurs Windows Server 2012.

Cette dernière peut être désactivée en mettant à jour l’entrée de registre DisableResourceGroupsFields  et la rendant égale à 1 (Se trouve sous la clé de registre HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kdc\Parameters).

Voir aussi
Autres langues

Cet article est disponible dans d'autres langues.