windows-server-2008 – 增加Kerberos票证的MaxTokenSize的影响

经过一些初步的故障排除后,我们发现Domain Admins是太多组的成员(最近计数为397),Kerberos Ticket大小超过12000字节(为13783)(事件ID 6).我发现以下文章似乎准确描述了发生了什么以及如何解决它的一些建议：

http://blogs.technet.com/b/surama/archive/2009/04/06/kerberos-authentication-problem-with-active-directory.aspx

目的是在注册表中将MaxTokenSize限制提高到65535.但是我找不到关于这会产生什么影响的讨论？长期目标是使群体数量的蠕变合理化,但短期内这似乎是一个解决方案.过去有没有人对此有过任何经验,在推出此更改之前,我们应该注意哪些警告？

我们目前正在运行Server 2008域和林功能级别,所有DC都是64位VM.

更新：所以经过多一点阅读后,我可以看到Server 2012默认设置为MaxTokenSize的48000.这对我们来说似乎是一个明智的选择.我似乎无法找到有关信息的一件事是用户拥有更大代币的可能影响.有人建议这会增加IIS服务器上的内存使用量,但是有人知道DC和成员服务器(即32位Citrix服务器等)是否会出现这种情况？