Gælder forWindows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Local, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2025

Oprindelig publiceringsdato: 20. februar 2025

KB-id: 5054215

Skift dato

Skift beskrivelse

4. marts 2025

  • Tydeliggjort formuleringen i afsnittet "Vejledning til at omgå begrænsninger for strenglængde".

Introduktion

Politikken host-to-realm i Kerberos bruges til at knytte en vært (f.eks. en klientcomputer eller server) til en bestemt Kerberos-ressource. Du kan få mere at vide under Politik-CSP – ADMX_Kerberos.

I denne artikel beskrives strenglængdebegrænsninger i politikken for værts-til-ressource for Kerberos, scenarier, hvor begrænsningerne gælder, og giver vejledning i, hvordan du kan overvinde begrænsningerne.

Hvad er begrænsningerne for strenglængden?

  • Tegnbegrænsning for brugergrænsefladetegn for værtsnavne: Det Gruppepolitik Editor Kontrolelement, der bruges til at angive dataene, indlæser højst 1.024 tegn i ressourceværtsfillisteposten. Du kan dog skrive op til 32.767 tegn og skrive disse til registry.pol.

  • Tegngrænse for værtsnavne: Kerberos-klienten, der læser denne indstilling på den enhed, hvor politikken gælder, har en fast grænse på 2.048 tegn for listen over værtsnavne.

I hvilke scenarier gælder begrænsningerne?

Begrænsningerne for strenglængden gælder i følgende scenarier:

  • Du har et Active Directory-domæne og en tredjepartsressource, f.eks. FreeBSD eller Linux, med et MIT-tillidsforhold.

  • Du understøtter flere SPN-suffikser eller en liste over værter, der er tilknyttet manuelt til den ressource, der har tillid til AD-skoven.

Når du angiver tilknytningspolitikken for værtsressourcen i domæne Gruppepolitik, kan følgende felter defineres:

  • Politiknavn: Definer tilknytninger af værtsnavn til Kerberos-ressource,

  • Undernøgle i registreringsdatabasen: domain_realm.

Hentning af en billet til en af disse værter kan være mislykket, da ud over en vis længde af værtsstrengene viser Gruppepolitik Editor ikke listen over værter. I stedet er felterne "værdinavn" og "værdi" tomme.

Vejledning til at omgå begrænsningerne for strenglængde

  • Ui-grænsen: Du kan undgå problemet med at indtaste lange strenge i ADMX Gruppepolitik Editor ved at oprette en separat tekstfil, der indeholder listen over værtsnavne. Når du opdaterer listen over værter, skal du ændre denne tekstfil i overensstemmelse hermed. Bagefter kan du åbne politikken og indsætte den opdaterede streng i redigeringskontrolelementet for den relevante ressourcetilknytning.Du kan også bruge Set-GPRegistryValue PowerShell-cmdlet'en fra en scriptfil. Det giver også mulighed for at videregive en lang streng som parameter for at føje den til Gruppepolitik.

  • Længdegrænsen for værtsnavnet for registreringsdatabaseposten: Fra og med februar 2025 kan tegngrænsen på 2.048 tegn for værtsnavne ikke undgås, når du bruger indstillingen ADMX Gruppepolitik eller InTune CSP.

    Der findes en løsning, der ikke kræver Gruppepolitik. Du kan bruge kommandoen ksetup /addhosttorealmmap , som beskrevet i vejledningen til ksetup addhosttorealmmap. Denne fremgangsmåde er kun begrænset af den generelle registreringsdatabase-hivestørrelse for SYSTEM-hive- og heap-begrænsningerne.

    Du kan også bruge indstillinger for registreringsdatabase Gruppepolitik til at distribuere værtstilknytninger ved hjælp af de data, der er gemt af kommandoen ksetup /addhosttorealmmap i følgende undernøgle i registreringsdatabasen:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\HostToRealm

    Hvis du vil oprette denne indstilling i registreringsdatabasen Gruppepolitik Indstillinger, skal du bruge PowerShell-cmdlet'en Set-GPPrefRegistryValue.

Referencer

​​​​​​​​​​​​​​Ansvarsfraskrivelse for tredjepartsoplysninger

De tredjepartsprodukter, der er nævnt i denne artikel, er fremstillet af firmaer, der er uafhængige af Microsoft. Vi påtager os intet ansvar, hverken underforstået eller på anden måde, for funktionaliteten eller pålideligheden af disse produkter.

Vi leverer tredjepartskontaktoplysninger for at hjælpe dig med at finde teknisk support. Disse kontaktoplysninger kan ændres uden varsel. Microsoft kan ikke garantere nøjagtigheden af tredjeparts-kontaktoplysninger.

Facebook LinkedIn E-mail
ABONNER PÅ RSS-FEEDS

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Microsoft 365-abonnementsfordele

Microsoft 365-kurser

Microsoft-sikkerhed

Center for tilgængelighed