تاريخ النشر الأصلي: 20 فبراير 2025
معرف KB: 5054215
|
تغيير التاريخ |
تغيير الوصف |
|
4 مارس 2025 |
|
المقدمة
يتم استخدام نهج المضيف إلى النطاق في Kerberos لتعيين مضيف (مثل كمبيوتر عميل أو خادم) إلى نطاق Kerberos معين. لمزيد من المعلومات، يرجى الاطلاع على نهج CSP - ADMX_Kerberos.
توضح هذه المقالة قيود طول السلسلة في نهج المضيف إلى النطاق ل Kerberos، والسيناريوهات التي تنطبق فيها القيود، وتوفر إرشادات حول كيفية التغلب على القيود.
ما هي قيود طول السلسلة؟
-
حد أحرف واجهة المستخدم (UI) لأسماء المضيفين: لا يقوم عنصر تحكم نهج المجموعة المحرر المستخدم لإدخال البيانات بتحميل أكثر من 1024 حرفا في إدخال قائمة ملفات مضيف النطاق. ومع ذلك، يمكنك كتابة ما يصل إلى 32767 حرفا وكتابتها بنجاح في registry.pol.
-
حد الأحرف لأسماء المضيفين: يحتوي عميل Kerberos الذي يقرأ هذا الإعداد على الجهاز حيث ينطبق النهج على حد ثابت يبلغ 2048 حرفا لقائمة اسم المضيف.
في أي سيناريوهات تنطبق القيود؟
تنطبق قيود طول السلسلة في السيناريوهات التالية:
-
لديك مجال Active Directory ومجال جهة خارجية مثل FreeBSD أو Linux مع ثقة MIT.
-
أنت تدعم لاحقات SPN متعددة أو قائمة بالمضيفين المعينين يدويا إلى النطاق الذي يثق في غابة AD.
عند تعيين نهج تعيين المضيف إلى النطاق في نهج المجموعة المجال، يمكن تعريف الحقول التالية:
-
اسم النهج: تعريف تعيينات نطاق اسم المضيف إلى Kerberos،
-
مفتاح التسجيل الفرعي: domain_realm.
قد يكون استرداد تذكرة لأحد هؤلاء المضيفين غير ناجح نظرا لأن نهج المجموعة المحرر لا يعرض قائمة المضيفين بعد طول معين من سلاسل المضيف. بدلا من ذلك، يكون الحقلان "اسم القيمة" و"القيمة" فارغين.
إرشادات للتغلب على قيود طول السلسلة
-
حد واجهة المستخدم: لتجنب المشكلة في إدخال سلاسل طويلة في نهج المجموعة المحرر ADMX، يمكنك إنشاء ملف نصي منفصل يحتوي على قائمة اسم المضيف. عند تحديث قائمة المضيفين، ستحتاج إلى تعديل هذا الملف النصي وفقا لذلك. بعد ذلك، يمكنك فتح النهج ولصق السلسلة المحدثة في عنصر تحكم التحرير لتعيين النطاق ذي الصلة.يمكنك أيضا استخدام الأمر Set-GPRegistryValue PowerShell cmdlet من ملف برنامج نصي. كما يسمح بتمرير سلسلة طويلة كمعلمة لإضافتها إلى نهج المجموعة.
-
حد طول اسم مضيف إدخال التسجيل: اعتبارا من فبراير 2025، لا يمكن تجنب حد الأحرف البالغ 2048 حرفا لأسماء المضيفين عند استخدام إعداد ADMX نهج المجموعة أو InTune CSP.
هناك حل بديل لا يتطلب نهج المجموعة. يمكنك استخدام الأمر ksetup /addhosttorealmmap ، كما هو موثق في دليل ksetup addhosttorealmmap. يقتصر هذا الأسلوب فقط على حجم خلية السجل العام لحدود خلية النظام وكومة الذاكرة المؤقتة.
يمكنك أيضا استخدام تفضيلات نهج المجموعة التسجيل لتوزيع تعيينات المضيف باستخدام البيانات المخزنة بواسطة الأمر ksetup /addhosttorealmmap في مفتاح التسجيل الفرعي التالي:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\HostToRealm
لإنشاء هذا الإعداد في السجل نهج المجموعة التفضيلات، يرجى استخدام PowerShell cmdlet Set-GPPrefRegistryValue.
مراجع
إخلاء المسؤولية عن معلومات الجهة الأخرى
تم تصنيع المنتجات الخارجية التي تتناولها هذه المقالة بواسطة شركات مستقلة عن Microsoft. لا نقدم أي ضمان، ضمني أو غير ذلك، حول أداء هذه المنتجات أو موثوقيتها.
نحن نوفر معلومات جهة اتصال تابعة لجهة خارجية لمساعدتك في العثور على الدعم التقني. قد تتغير معلومات الاتصال هذه بدون إشعار. لا نضمن دقة معلومات جهة الاتصال هذه التابعة لجهة خارجية.
