Kerberos Token Size, SID History si Powershell

By Andrei Ungureanu - Last updated: Tuesday, February 5, 2013 - Save & Share - Leave a Comment

Cautand ceva pe net legat de Kerberos am dat de un subiect destul de popular si pe care nu l-am atins pe Winadmin. Si anume “Kerberos Token Bloat”. Fenomenul asta apare atunci cand ticketul Kerberos este prea mare si devine fragmentat la nivel de retea. Nu o sa intru acum in detalii, poate pe viitor, insa cauzele unui ticket kerberos prea mare sunt de regula apartenenta la prea multe grupuri, optiunea trusted for delegation, sau SID History.

Cum primele doua cauze sunt simplu de detectat nu la fel se intampla cu SID History care ramane de multe ori ignorat dupa ce userul a fost migrat in alt domeniu/forest.

Mai jos am pus cateva resurse foarte interesante care va ajuta sa detectati si sa faceti remove la SID History folosind Powershell. Atentie mare si nu rulati nimic pana nu intelegeti exact ce fac acele comenzi.

http://technet.microsoft.com/en-us/library/powershell_remove_sid_history(WS.10).aspx

Iar mai jos este link-ul catre blog-ul lui Ashley McGlone ce are o colectie interesanta de articole pe aceasta tema plus un super modul Powershell ce va ajuta sa lucrati cu SIDHistory (inclusiv conversii, exporturi, etc)

http://blogs.technet.com/b/ashleymcglone/archive/tags/sid+history/

Posted in Active Directory • Tags: , Top Of Page

Write a comment