Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Local, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2025

Původní datum publikování: středa 20. února 2025

ID znalostní báze: 5054215

Změnit datum

Změnit popis

úterý 4. března 2025

  • Objasnili jsme formulaci v části "Pokyny k řešení omezení délky řetězců".

Úvod

Zásady hostitel-sféra v protokolu Kerberos se používají k mapování hostitele (například klientského počítače nebo serveru) na konkrétní sféru Protokolu Kerberos. Další informace najdete v tématu CSP zásad – ADMX_Kerberos.

Tento článek popisuje omezení délky řetězců v zásadách host-to-realm pro Kerberos, scénáře, ve kterých tato omezení platí, a poskytuje pokyny, jak tato omezení překonat.

Jaká jsou omezení délky řetězců?

  • Omezení počtu znaků uživatelského rozhraní pro názvy hostitelů: Ovládací prvek Zásady skupiny Editor použitý k zadání dat nenačte do položky seznamu souborů hostitele sféry více než 1 024 znaků. Můžete však zadat až 32 767 znaků a úspěšně je zapsat do souboru registry.pol.

  • Omezení počtu znaků pro názvy hostitelů: Klient Kerberos, který toto nastavení čte na zařízení, na které se zásady vztahují, má pevný limit 2 048 znaků pro seznam názvů hostitelů.

V jakých scénářích se omezení vztahují?

Omezení délky řetězce platí v následujících scénářích:

  • Máte Doména služby Active Directory a sféru třetí strany, jako je FreeBSD nebo Linux, s trustem MIT.

  • Podporujete více přípon hlavního názvu služby (SPN) nebo seznam hostitelů namapovaných ručně na sféru, která důvěřuje doménové struktuře AD.

Při nastavování zásad mapování hostitele na sféru v Zásady skupiny Doména je možné definovat následující pole:

  • Název zásady: Definujte mapování názvů hostitelů na sféry Kerberos.

  • Podklíč registru: domain_realm.

Načtení lístku pro jednoho z těchto hostitelů může být neúspěšné, protože nad určitou délku řetězců hostitele se v Zásady skupiny Editor nezobrazuje seznam hostitelů. Místo toho jsou pole "název hodnoty" a "hodnota" prázdná.

Pokyny k řešení omezení délky řetězců

  • Limit uživatelského rozhraní: Chcete-li se vyhnout problémům se zadáváním dlouhých řetězců v admx Zásady skupiny Editor, můžete vytvořit samostatný textový soubor obsahující seznam názvů hostitelů. Při aktualizaci seznamu hostitelů budete muset odpovídajícím způsobem upravit tento textový soubor. Potom můžete zásadu otevřít a vložit aktualizovaný řetězec do ovládacího prvku pro úpravy pro příslušné mapování sféry.Můžete také použít rutinu PowerShellu Set-GPRegistryValue ze souboru skriptu. Umožňuje také předání dlouhého řetězce jako parametru, který ho přidá do Zásady skupiny.

  • Limit délky názvu hostitele položky registru: Od února 2025 se při použití nastavení ADMX Zásady skupiny nebo InTune CSP nedá vyhnout omezení počtu znaků 2 048 znaků pro názvy hostitelů.

    Existuje alternativní řešení, které nevyžaduje Zásady skupiny. Můžete použít příkaz ksetup /addhosttorealmmap , jak je popsáno v příručce ksetup addhosttorealmmap. Tento přístup je omezený pouze obecnou velikostí podregistru registru pro limity podregistru SYSTEM a haldy.

    Pomocí registru Zásady skupiny Preferences můžete také distribuovat mapování hostitelů pomocí dat uložených příkazem ksetup /addhosttorealmmap v následujícím podklíči registru:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\HostToRealm

    Pokud chcete toto nastavení vytvořit v registru Zásady skupiny Předvolby, použijte rutinu PowerShellu Set-GPPrefRegistryValue.

Reference

​​​​​​​​​​​​​​Informace třetích stran – právní omezení

Produkty třetích stran uvedené v tomto článku vyrábějí společnosti, které jsou nezávislé na společnosti Microsoft. Neposkytujeme žádné záruky, ať už předpokládané, nebo jiné, týkající se výkonu nebo spolehlivosti těchto produktů.

Poskytujeme kontaktní informace třetích stran, abychom vám pomohli získat technickou podporu. Tyto kontaktní informace se můžou bez upozornění změnit. Nezaručujeme správnost kontaktních informací třetích stran.

Facebook LinkedIn E-mail
PŘIHLÁSIT SE K ODBĚRU INFORMAČNÍCH KANÁLŮ RSS

Potřebujete další pomoc?

Chcete další možnosti?

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Výhody předplatného Microsoft 365

Školení k Microsoft 365

Zabezpečení od Microsoftu

Centrum přístupnosti