ISA 2006 kerberosに切り替えると、一部のユーザーに認証の問題が発生します

大規模な企業環境では、4台のISA 2006サーバーがセットアップされています。ユーザー（WinXP IE8）は自動プロキシ構成スクリプトで構成されています。最近、PACはIPではなくFQDNを返すように変更されました。 ISAサーバーのアドレス。これは、NTLMではなくKerberos認証を強制するために行われました。

この変更により、一部のユーザーに断続的な問題が発生しています。 SSLを介してサイトにアクセスすると、プロキシサーバーから認証を求める複数のプロンプトが表示されます。すべてのユーザーが影響を受けるわけではありません。さまざまなサイトが影響を受けます。ある時点で、プロキシサーバーの1つが「502プロキシエラー。バッファスペースがサポートされていません。」を吐き出し始めました。再起動され、営業を再開しました。

私たちが理解できる最善のことは、それが大きなKerberosトークンサイズに関係しているということです（私たちは数百/数千のADセキュリティグループを持つ大規模なオペレーションです）。

一部のユーザーは、Kerberos用にMaxPacketSizeとMaxTokenSizeを構成しています。しない人もいます。私が見た2人の問題のあるユーザーは両方ともこれらの設定を持っていました。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters]
"MaxPacketSize"=dword:00000001
"MaxTokenSize"=dword:0000ffff

PACをロールバックしてIPアドレス（およびNTLM）を使用すると、ユーザーの問題が解決します。ただし、プロキシ管理者は次の理由でKerberosを必要としています。 IISでNTLMの代わりにKerberosを使用する理由 。

これらのレジストリ設定をすべてのユーザーにプッシュすると問題が解決しますか、それともこれらの設定が問題の原因ですか？

デスクトップのトークンサイズ設定に一致するように調整する必要があるISAサーバーの設定はありますか？

ありがとう。