vRealize Automation 展開の Kerberos トークン サイズの設定
search cancel

vRealize Automation 展開の Kerberos トークン サイズの設定

book

Article ID: 342068

calendar_today

Updated On:

Products

VMware Aria Suite

Issue/Introduction


  • [インフラストラクチャ] タブに、次のエラーが表示される。

    サービスにアクセスできません - 指定アドレスで要求されたサービスに接続できません。詳細はシステム管理者にお問い合わせください。参照エラー REPO404 (Service Unreachable - A required service cannot be reached at the expected address. Contact your system administrator for assistance. Reference error REPO404)

  • C:\Program Files (x86)\VMware\vCAC\Server\Website\Logs\Web_Admin.log ファイルに、次のエラーが記録される。

    Bad Request - Request Too Long - HTTP Error 400.The size of the request headers is too long


Symptoms:
免責事項:これは英文の記事「Setting the Kerberos token size for vRealize Automation deployments (2095768)」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

Environment

VMware vCloud Automation Center for Server 6.0.x
VMware vRealize Automation 6.2.x
VMware vRealize Automation Desktop 6.2.x
VMware vCloud Automation Center for Desktop 6.1.x
VMware vCloud Automation Center for Desktop 6.0.x
VMware vCloud Automation Center for Server 6.1.x
VMware vRealize Automation 7.0.x

Cause

この問題は、LDAP を検索する場合や、ユーザーの代理でアクションを実行する場合に、デフォルトの VMware vRealize Automation (旧称 vCloud Automation Center)ヘッダーが、デフォルトの Windows Kerberos トークン サイズに対して大きすぎることが原因で発生します。


Resolution

:高可用性環境を使用する場合は、vRealize Automation Web サーバまたはすべての Web サーバで次の手順を実行します。オプションで、次の手順を手動で実行する代わりに、添付ファイルを使用して自動的にレジストリの変更を行い、これを実装することもできます。

トークン サイズ

Kerberos トークンの最大サイズを決定して設定します。正しい Kerberos トークンの最大サイズを決定するには、次のガイドラインを使用します。

Kerberos MaxTokenSize = 1200 + 40d + 8s (bytes)

この式は次の値を使用します。
  • d = ユーザーがメンバーになっているドメインのローカル グループの数、ユーザーがメンバーになっているユーザーのアカウント ドメインの外部にあるユニバーサル グループの数、およびセキュリティ ID (SID) 履歴に表示されるグループの数の合計。
  • s = ユーザーがメンバーになっているセキュリティ グローバル グループの数およびユーザーがメンバーになっているユーザーのアカウント ドメイン内のユニバーサル グループの数の合計。
  • 1200 = チケット オーバーヘッドの推定値。この値は、DNS ドメイン名の長さやクライアント名などの要素によって変化します。

Windows レジストリの変更

レジストリ エントリの修正が必要かを判断します。上の式を使用して計算するトークン サイズが 12,000 バイト(デフォルト サイズ)未満の場合は、ドメイン クライアントの MaxTokenSize registry 値を変更しないでください。値が 12,000 バイト以上の場合は、MaxTokenSize レジストリの値を調整します。詳細については、Microsoft サポート技術情報の記事「327825」を参照してください。

Kerberos MaxTokenSize 値を変更するには、次のレジストリ エントリを regedit で変更します。

HKLM\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters

MaxTokenSize, REG_DWORD, value (the recommended value for the MaxTokenSize registry entry is 65535 decimal or FFFF hexadecimal)

:前述のリンクは、2015 年 4 月 15 日時点のものです。リンクが切れているのに気づいた場合はご連絡ください。VMware の担当者がリンクを更新します。
:次の手順では Windows レジストリを変更します。レジストリを変更する前に、レジストリと仮想マシンの有効な最新バックアップを作成していることを確認してください。レジストリのバックアップとリストアの詳細については、Microsoft サポート技術情報の記事「136393」を参照してください。

HTTP 最大要求サイズ

次のガイドラインを使用して、展開するための正しい HTTP の最大要求サイズを決定および設定します。ここで、T は上で設定した Kerberos の MaxTokenSize です。

MaxFieldLength = (4/3 * T バイト) + 200
MaxRequestBytes = (4/3 * T バイト) + 200

MaxFieldLengthMaxRequestBytes を、計算された値に設定します。次の例では、許可される最大値に設定されています。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
MaxFieldLength DWORD 65534
MaxRequestBytes DWORD 16777216

:前述のフィールドが変更されている場合は、変更を有効にするために、Windows マシンを再起動する必要があります。


Additional Information

詳細については、Microsoft サポート技術情報の記事「263693」を参照してください。

:前述のリンクは、2015 年 8 月 19 日時点のものです。リンクが切れているのに気づいた場合はご連絡ください。VMware の担当者がリンクを更新します。

Setting the Kerberos token size for vRealize Automation deployments