ドメインに所属するいくつかのコンピュータから、以下のようなエラーがかなり頻発して出るようになりました。
原因を調べてみると、どうやら最近追加したファイルサーバ用の大量のグループにユーザアカウントを所属させたのが原因らしい事が分かりました。
AD認証時に作成されるKerberosトークンに既定のバッファ長があるため、それを超えてしまうと認証が上手く通らなくなります。
Kerberosトークンのバッファ値はMaxTokenSizeというレジストリ値で設定する事が可能ですが、既定ではこのキーは存在しないため、変更する場合には追加が必要になります。
MaxTokenSizeの規定値はOSで異なり、Windows 2000の場合は8000バイトで、Windows 2000 Service Pack 2 (SP2)やMicrosoft Windows Server 2003の場合は12000バイトになっているようです。
MaxTokenSizeの変更方法
レジストリエディタを利用してこの問題を解決する場合には、以下の文字列をメモ帳に保存し、拡張子を.regに変更して実行してください。
グループポリシーでこの設定を一括設定する場合には、以下の文字列をメモ帳に保存し、拡張子を.admに変更してグループポリシーに追加します。
認証が上手く通らなくなるとWindows共有に正常にログイン出来なくなったり、ログインに失敗したり、SharePointサイトにアクセス出来なくなったり、かなりいろいろな弊害が出てくるので、同じようなエラーに悩んでいた場合には、実行してみるといいと思います。
