Gilt für
Windows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Local, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 DO_NOT_USE_Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2025

Ursprüngliches Veröffentlichungsdatum: 20. Februar 2025

KB-ID: 5054215

Datum ändern

Beschreibung ändern

4. März 2025

  • Der Wortlaut wurde im Abschnitt "Leitfaden zum Umgehen der Einschränkungen von Zeichenfolgenlängen" präzisiert.

Einführung

Die Host-zu-Bereich-Richtlinie in Kerberos wird verwendet, um einen Host (z. B. einen Clientcomputer oder Server) einem bestimmten Kerberos-Bereich zuzuordnen. Weitere Informationen finden Sie unter Richtlinien-CSP – ADMX_Kerberos.

In diesem Artikel werden Einschränkungen der Länge von Zeichenfolgen in der Host-zu-Bereich-Richtlinie für Kerberos beschrieben, Szenarien, in denen die Einschränkungen gelten, und es werden Anleitungen zum Überwinden der Einschränkungen bereitgestellt.

Welche Einschränkungen gelten für Zeichenfolgenlänge?

  • Zeichenbeschränkung der Benutzeroberfläche für Hostnamen: Das Gruppenrichtlinie Editor Steuerelement, das zum Eingeben der Daten verwendet wird, lädt nicht mehr als 1.024 Zeichen in den Eintrag der Bereichshostdateiliste. Sie können jedoch bis zu 32.767 Zeichen eingeben und diese erfolgreich in registry.pol schreiben.

  • Zeichenlimit für Hostnamen: Der Kerberos-Client, der diese Einstellung auf dem Gerät liest, auf dem die Richtlinie gilt, hat eine feste Grenze von 2.048 Zeichen für die Hostnamenliste.

In welchen Szenarien gelten die Einschränkungen?

Die Einschränkungen für Zeichenfolgenlänge gelten in den folgenden Szenarien:

  • Sie verfügen über eine Active Directory-Domäne und einen Drittanbieterbereich wie FreeBSD oder Linux mit einer MIT-Vertrauensstellung.

  • Sie unterstützen mehrere SPN-Suffixe oder eine Liste von Hosts, die manuell dem Bereich zugeordnet werden, der der AD-Gesamtstruktur vertraut.

Beim Festlegen der Host-zu-Bereich-Zuordnungsrichtlinie im domänenbasierten Gruppenrichtlinie können die folgenden Felder definiert werden:

  • Richtlinienname: Definieren von Hostnamen-zu-Kerberos-Bereichszuordnungen,

  • Registrierungsunterschlüssel: domain_realm.

Das Abrufen eines Tickets für einen dieser Hosts ist möglicherweise nicht erfolgreich, da die Liste der Hosts im Gruppenrichtlinie Editor über eine bestimmte Länge der Hostzeichenfolgen hinaus nicht angezeigt wird. Stattdessen sind die Felder "Wertname" und "Wert" leer.

Anleitung zum Umgehen der Einschränkungen für Zeichenfolgenlänge

  • Das Benutzeroberflächenlimit: Um das Problem beim Eingeben langer Zeichenfolgen in ADMX Gruppenrichtlinie Editor zu vermeiden, können Sie eine separate Textdatei erstellen, die die Hostnamenliste enthält. Wenn Sie die Liste der Hosts aktualisieren, müssen Sie diese Textdatei entsprechend ändern. Anschließend können Sie die Richtlinie öffnen und die aktualisierte Zeichenfolge in das Bearbeitungssteuerelement für die relevante Bereichszuordnung einfügen.Sie können auch das PowerShell-Cmdlet Set-GPRegistryValue aus einer Skriptdatei verwenden. Es ermöglicht auch die Übergabe einer langen Zeichenfolge als Parameter, um sie dem Gruppenrichtlinie hinzuzufügen.

  • Die Längenbeschränkung für Hostnamen des Registrierungseintrags: Ab Februar 2025 kann die Zeichenbeschränkung von 2.048 Zeichen für Hostnamen nicht vermieden werden, wenn Sie die ADMX-Gruppenrichtlinie- oder InTune-CSP-Einstellung verwenden.

    Es gibt eine Problemumgehung, für die keine Gruppenrichtlinie erforderlich ist. Sie können den Befehl ksetup /addhosttorealmmap verwenden, wie im Leitfaden zu ksetup addhosttorealmmap dokumentiert. Dieser Ansatz wird nur durch die allgemeine Registrierungsstrukturgröße für die SYSTEM-Hive- und Heapgrenzwerte eingeschränkt.

    Sie können auch die Registrierungs- Gruppenrichtlinie Einstellungen verwenden, um die Hostzuordnungen zu verteilen, indem Sie die daten verwenden, die vom Befehl ksetup /addhosttorealmmap im folgenden Registrierungsunterschlüssel gespeichert sind:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\HostToRealm

    Verwenden Sie zum Erstellen dieser Einstellung in der Registrierung Gruppenrichtlinie Einstellungen das PowerShell-Cmdlet Set-GPPrefRegistryValue.

References

​​​​​​​​​​​​​​Informationen zum Haftungsausschluss von Drittanbietern

Die in diesem Artikel genannten Drittanbieterprodukte stammen von Herstellern, die von Microsoft unabhängig sind. Microsoft gewährt keine implizite oder sonstige Garantie in Bezug auf die Leistung oder Zuverlässigkeit dieser Produkte.

Die Kontaktinformationen zu den in diesem Artikel erwähnten Drittanbietern sollen Ihnen helfen, den benötigten technischen Support zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Sie werden von Microsoft ohne jede Gewähr weitergegeben.

Facebook LinkedIn E-Mail
RSS-FEEDS ABONNIEREN

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

Vorteile des Microsoft 365-Abonnements

Microsoft 365-Training

Microsoft Security

Barrierefreiheitscenter