Inloggningsproblem AD och MaxTokenSize

Det här är egentligen inte ett SQL relaterat problem men då vi använder mycket AD autentisering får vi även ibland dras med en del problem där ifrån också, i det här fallet är det dock Kerberos protokollet som har en begränsning som gör sig till känna om vi är med i för många AD-grupper.

Felet yttrar sig vanligen när en användare eller applikation inte kan logga in mot en SQL instans, vi får felmeddelande som tyder på anslutnings problem.

På SQL instansen får vi detta i error-loggen:

The login packet used to open the connection is structurally invalid; the connection has been closed. Please contact the vendor of the client library. [CLIENT: xxx.xxx.xxx.xxx]

Via powershell kan vi enkelt ta fram en lista på alla grupper som AD kontot är medlem i (nedan sparar listan i klippbordet, ta bort | clip för att visa på skärmen):

Get-ADPrincipalGroupMembership -Identity [AD-KONTO] | Format-Table -Property name | clip

Om AD kontot är med i mer än 120 grupper kan det vara orsaken, testa ett annat konto som inte är med i så många grupper eller ta bort grupper om möjligt.

Enklaste lösningen är att städa bort ev onödiga grupper, det går även att justera MaxTokenSize i registret men det måste göras på de servrar man ansluter mot samt kräver omstart.

/Björn

Ska vi träffas och prata om vad vi konkret kan göra för dig?