Отнася се за
Windows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Local, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 DO_NOT_USE_Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2025

Първоначална дата на публикуване: 20 февруари 2025 г.

ИД на КБ: 5054215

Промяна на датата

Промяна на описанието

4 март 2025 г.

  • Изяснихме текста в раздела "Указания за заобикаляне на ограниченията на дължината на низовете".

Въведение

Правилата за хост към областта в Kerberos се използват за съпоставяне на хост (например компютър клиент или сървър) към определена областта на Kerberos. За повече информация вижте Правила за CSP – ADMX_Kerberos.

Тази статия описва ограниченията за дължината на низовете в правилата за хост към областта за Kerberos, сценарии, в които се прилагат ограниченията, и дава указания как да преодолеете ограниченията.

Какви са ограниченията за дължината на низовете?

  • Ограничение на знаците на потребителския интерфейс (ПИ) за имена на хостове: Контролата за групови правила Редактор, използвана за въвеждане на данните, не зарежда повече от 1024 знака в записа на списъка с файлове на хоста на областта. Можете обаче да въведете до 32 767 знака и успешно да ги напишете в registry.pol.

  • Ограничение на знаците за имена на хостове: Клиентът на Kerberos, който чете тази настройка на устройството, където правилата се прилагат, има твърдо ограничение от 2048 знака за списъка с имена на хостове.

В какви сценарии се прилагат ограниченията?

Ограниченията за дължината на низовете се прилагат в следните сценарии:

  • Имате домейн на Active Directory и област на друг доставчик, като например FreeBSD или Linux, с MIT доверие.

  • Поддържате няколко SPN суфикси или списък с хостове, нанесени ръчно в областта, която се доверява на гората на AD.

Когато задавате правилата за съпоставяне на хост към област в групови правила домейн, могат да бъдат дефинирани следните полета:

  • Име на правила: Дефиниране на съпоставяния на област от име на хост към Kerberos,

  • Подключ от системния регистър: domain_realm.

Извличането на билет за един от тези хостове може да е неуспешно, тъй като отвъд определена дължина от низовете за хост, групови правила Редактор не показва списъка с хостове. Вместо това полетата "име на стойност" и "стойност" са празни.

Указания за заобикаляне на ограниченията за дължината на низовете

  • Ограничението на потребителския интерфейс: За да избегнете проблема с въвеждането на дълги низове в ADMX групови правила Редактор, можете да създадете отделен текстов файл, съдържащ списъка с имена на хостове. Когато актуализирате списъка с хостове, ще трябва да промените този текстов файл по съответния начин. След това можете да отворите правилата и да поставите актуализирания низ в контролата за редактиране за съответното съпоставяне на областта.Можете също да използвате кратката команда Set-GPRegistryValue на PowerShell от скриптов файл. Също така позволява да предадете дълъг низ като параметър, за да го добавите към групови правила.

  • Ограничението за дължината на името на хоста на записа в системния регистър: От февруари 2025 г. ограничението от 2048 знака за имена на хостове не може да бъде избегнато, когато използвате настройката ADMX групови правила или InTune CSP.

    Има заобиколно решение, което не изисква групови правила. Можете да използвате командата ksetup /addhosttorealmmap , както е документирано в ръководството за ksetup addhosttorealmmap. Този подход е ограничен само от общия размер на кошерния кошерен файл на системния регистър за ограниченията за кошерен файл и свободна памет на СИСТЕМАТА.

    Можете също да използвате предпочитанията за групови правила на системния регистър, за да разпространите съпоставянията на хостове, като използвате данните, съхранени от командата ksetup /addhosttorealmmap в следния подключ от системния регистър:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\HostToRealm

    За да създадете тази настройка в системния регистър групови правила Предпочитания, използвайте кратката команда на PowerShell Set-GPPrefRegistryValue.

Справочни материали

​​​​​​​​​​​​​​Отказ от отговорност за информация от трети лица

Продуктите на други разработчици, обсъждани в тази статия, са произведени от независими от Microsoft фирми. Не даваме никаква подразбираща се или друга гаранция относно производителността или надеждността на тези продукти.

Предоставяме информация за връзка с трети лица, за да ви помогнем да намерите техническа поддръжка. Тази информация за връзка може да се промени без предизвестие. Не гарантираме точността на тази информация за връзка на трети лица.

Facebook LinkedIn Имейл
АБОНИРАНЕ ЗА RSS КАНАЛИ

Нуждаете ли се от още помощ?

Искате ли още опции?

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.

Ползи от абонамент за Microsoft 365

Обучение за Microsoft 365

Microsoft Security

Център за достъпност