Apache Плохой Запрос “Размер поля заголовка запроса превышает предел сервера” с Kerberos SSO
Это будет проблематичным. Установка, которую Вы пытаетесь настроить, является компьютерной установкой и применяется к компьютеру и поэтому будет влиять на всех входящие в систему того компьютера независимо от любой безопасности, фильтрующей это, Вы делаете. Нет соответствующего пользовательского параметра конфигурации для этого так, Вы оказываетесь перед необходимостью устанавливать это на пользователе пользовательским основанием в ADUC. Можно использовать инструмент, такой как ADModify.NET, чтобы внести изменение оптом и затем выборочно включить перенаправление диска только для тех пользователей, которые Вы принимаете решение перенаправить диски на их сессии TS.
Насколько я понимаю, у вас очень большой токен безопасности, возможно, потому, что пользователь является членом большого количества групп. Реализация AD Kerberos по умолчанию будет предоставлять Apache сертификат атрибутов привилегий (PAC). Эта структура может быть большой, если пользователь является членом значительного числа групп. Вы можете использовать инструмент tokensz.exe , чтобы увидеть размер токена пользователя.
Если это проблема, вы можете изменить атрибут UserAccountControl учетной записи пользователя , чтобы предотвратить отправку PAC.
Вы можете обойтись без изменения вашего файла /etc/krb5.conf , чтобы он ссылался на KDC как kdc = tcp / kdc.name . здесь . Эта проблема может возникнуть, если PAC приводит к тому, что маркер становится слишком большим для дейтаграммы UDP, но принудительное соединение с KDC с помощью TCP также является возможным обходным путем.
Изменение этого значения для 1000 пользователей несложно для вашего Админы AD, если это решит вашу проблему.
Вы можете использовать инструмент tokensz.exe , чтобы увидеть размер токена пользователя.
Если это проблема, вы можете изменить атрибут UserAccountControl учетной записи пользователя , чтобы предотвратить отправку PAC.
Вы можете обойтись без изменения вашего файла /etc/krb5.conf , чтобы он ссылался на KDC как kdc = tcp / kdc.name . здесь . Эта проблема может возникнуть, если PAC приводит к тому, что маркер становится слишком большим для дейтаграммы UDP, но принудительное соединение с KDC с помощью TCP также является возможным обходным путем.
Изменение этого значения для 1000 пользователей несложно для вашего Админы AD, если это решит вашу проблему.
Вы можете использовать инструмент tokensz.exe , чтобы увидеть размер токена пользователя.
Если это проблема, вы можете изменить атрибут UserAccountControl учетной записи пользователя , чтобы предотвратить отправку PAC.
Вы можете обойтись без изменения вашего файла /etc/krb5.conf , чтобы он ссылался на KDC как kdc = tcp / kdc.name . здесь . Эта проблема может возникнуть, если PAC приводит к тому, что маркер становится слишком большим для дейтаграммы UDP, но принудительное соединение с KDC с помощью TCP также является возможным обходным путем.
Изменение этого значения для 1000 пользователей несложно для вашего Админы AD, если это решит вашу проблему.
s учетная запись , чтобы предотвратить отправку PAC. Вы можете обойтись без изменения вашего файла /etc/krb5.conf , чтобы он ссылался на KDC как kdc = tcp /kdc.name.here . Эта проблема может возникнуть, если PAC приводит к тому, что маркер становится слишком большим для дейтаграммы UDP, но принудительное соединение с KDC с помощью TCP также является возможным обходным путем.
Изменение этого значения для 1000 пользователей несложно для вашего Админы AD, если это решит вашу проблему.
s учетная запись , чтобы предотвратить отправку PAC. Вы можете обойтись без изменения файла /etc/krb5.conf , чтобы он ссылался на KDC как kdc = tcp /kdc.name.here . Эта проблема может возникнуть, если PAC приводит к тому, что маркер становится слишком большим для дейтаграммы UDP, но принудительное соединение с KDC с помощью TCP также является возможным обходным путем.
Изменение этого значения для 1000 пользователей несложно для вашего Админы AD, если это решит вашу проблему.
Я нашел другое решение, хотя не уверен, что оно действительно работает. В документации Apache указано, что для больших пакетов мне нужно будет установить LimitRequestFieldSize и / или LimitRequestLine.
Дело в том, что если вы хотите установить значение LimitRequestLine на значение, превышающее 8 КБ, вам придется изменить исходный код и перекомпилировать Apache, поскольку 8 КБ является фиксированным maxSize ( http://httpd.apache.org/docs/2.2/mod/core.html#limitrequestline .
Я не знаю наверняка, работает ли этот метод, потому что я переустановил apache из нашего собственного репозитория на второй сервер позже. Похоже, что это была другая версия пакета, так как там проблемы не было.
I had this error happening on a Drupal 7 site in Safari on Mac and found that closing the browser windows and clearing the cache of the browser, quitting the browser, opening it back up and reloading the page worked to discontinue the error which has only happened this one time.
Bad Request Your browser sent a request that this server could not understand. > Size of a request header field exceeds server limit. Cookie /n
Если кто-то столкнется с этой проблемой с помощью mod_proxy_ajp, взгляните на: Начиная с какой версии Apache, LimitRequestFieldSize больше не жестко запрограммирован на 8k max?