Komplizierte Geschichte, gewisse AD Benutzer – egal auf welchen Computer – hatten das Problem auf bestimmte WebApps zuzugreifen. Der Internet Explorer meldete einfach den Fehler 400 und aus.
Nach ein wenig Herumsuchen fiel uns auf, dass diese gewissen Benutzer äußerst viele AD Gruppen hatten. Nachdem wir in letzter Zeit auch mit Token Bloat zu tun gehabt haben war die Sache eigentlich klar. Der IE sendet das Kerberos Ticket aus irgendeinen Grund zum IIS. Das Ticket ist zu groß für den IIS und schmeißt somit einen Fehler.
Lösung ist es auf den fraglichen IIS’en zwei Registry Keys zu setzen, unter HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters:
- MaxFieldLength, DWORD, mit dem Wert 65534
- MaxRequestBytes, DWORD, mit dem Wert 16777216
Beide Werte natürlich Dezimalwerte, das sind die Maximalwerte. Microsoft rät davon ab die so groß zu setzen.
Nach dem Setzen empfehle ich einen Reboot, es ginge auch mit diversen Services aber das hat sich als nicht zuverlässig erwiesen (im Grunde deshalb weil nicht ganz klar war welche Services).
Quelle(n): http://support.microsoft.com/kb/2020943, http://support.microsoft.com/kb/820129
Neueste Kommentare