Käytetään kohteeseen
Windows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Local, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 DO_NOT_USE_Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2025

Alkuperäinen julkaisupäivä: 20. helmikuuta 2025

KB-tunnus: 5054215

Päivämäärän muuttaminen

Muuta kuvausta

4. maaliskuuta 2025

  • Selvensi merkkijonon pituuden rajoitusten kiertämisen ohjeita -osan sanamuotoa.

Johdanto

Kerberosin isäntä-to-realm-käytäntöä käytetään isännän (kuten asiakastietokoneen tai palvelimen) yhdistämiseen tiettyyn Kerberos-valtakuntaan. Lisätietoja on ohjeaiheessa Käytännön sisältöoikeuksien hallinta – ADMX_Kerberos.

Tässä artikkelissa kuvataan Kerberosin isäntä-alue-käytännön merkkijonon pituusrajoitukset, tilanteet, joissa rajoitukset ovat voimassa, ja annetaan ohjeita rajoitusten ratkaisemiseen.

Mitkä ovat merkkijonon pituusrajoitukset?

  • Käyttöliittymän merkkirajoitus isäntänimille: Tietojen syöttämiseen käytetty ryhmäkäytäntö Kirjoitusavustaja-ohjausobjekti lataa enintään 1 024 merkkiä alueen isäntätiedostoluettelon merkintään. Voit kuitenkin kirjoittaa enintään 32 767 merkkiä ja kirjoittaa ne onnistuneesti osoitteeseen registry.pol.

  • Isäntänimien merkkirajoitus: Kerberos-asiakasohjelma lukee tämän asetuksen laitteessa, jossa käytäntöä sovelletaan, ja sen isäntänimiluettelolle on rajoitettu 2 048 merkkiä.

Mitä skenaarioita rajoitukset koskevat?

Merkkijonon pituusrajoitukset ovat voimassa seuraavissa tilanteissa:

  • Sinulla on Active Directory -toimialue ja kolmannen osapuolen alue, kuten FreeBSD tai Linux, JOSSA on MIT-luottamus.

  • Tuet useita SPN-jälkiliitteitä tai isäntäluetteloa, joka on yhdistetty manuaalisesti AD-toimialuepuuryhmään.

Kun määrität isäntä-maa-määrityskäytäntöä Toimialue-ryhmäkäytäntö, voit määrittää seuraavat kentät:

  • Käytännön nimi: Määritä isäntänimi-kerberos-aluemäärityksiä,

  • Rekisterin aliavain: domain_realm.

Yhden isännän lipun noutaminen voi epäonnistua, koska isäntämerkkijonojen tietyn pituuden jälkeen ryhmäkäytäntö Kirjoitusavustaja ei näytä isäntäluetteloa. Sen sijaan arvon nimi- ja arvokentät ovat tyhjiä.

Ohjeita merkkijonon pituuden rajoitusten kiertämiseen

  • Käyttöliittymän rajoitus: Voit välttää pitkien merkkijonojen syöttämisen ADMX-ryhmäkäytäntö Kirjoitusavustaja luomalla erillisen tekstitiedoston, joka sisältää isäntänimiluettelon. Kun päivität isäntäluetteloa, sinun on muokattava tätä tekstitiedostoa vastaavasti. Tämän jälkeen voit avata käytännön ja liittää päivitetyn merkkijonon kyseisen alueen yhdistämismäärityksen muokkausohjausobjektiin.Voit käyttää komentosarjatiedoston Set-GPRegistryValue PowerShell-cmdlet-komentoa. Se sallii myös pitkän merkkijonon siirtämisen parametrina sen lisäämiseksi ryhmäkäytäntö.

  • Rekisterimerkinnän isäntänimen pituusrajoitus: Helmikuusta 2025 alkaen isäntänimien merkkirajoitusta 2 048 merkkiä ei voi välttää käytettäessä ADMX-ryhmäkäytäntö- tai InTune CSP -asetusta.

    On olemassa vaihtoehtoinen menetelmä, joka ei edellytä ryhmäkäytäntö. Voit käyttää ksetup /addhosttorealmmap-komentoaksetup addhosttorealmmap -oppaassa kuvatulla tavalla. Tätä lähestymistapaa rajoittaa vain SYSTEM-pesä- ja kasarajoitusten yleinen rekisterirakenteen koko.

    Voit myös käyttää Rekisteri-ryhmäkäytäntö-asetuksia isäntämääritysten jakamiseen käyttämällä seuraavan rekisterin aliavaimen ksetup /addhosttorealmmap-komennon tallentamia tietoja:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\HostToRealm

    Jos haluat luoda tämän asetuksen rekisterissä ryhmäkäytäntö Asetukset, käytä PowerShellin cmdlet-komentoa Set-GPPrefRegistryValue.

Lisätietoja

​​​​​​​​​​​​​​Muiden valmistajien tietoja koskeva vastuuvapauslauseke

Tässä artikkelissa käsiteltävät kolmansien osapuolten tuotteet ovat Microsoftista riippumattomien, itsenäisten yritysten valmistamia. Emme anna mitään oletettuja tai muita takuita siitä, että nämä tuotteet toimivat tai että ne ovat luotettavia.

Tarjoamme yhteystiedot kolmannelle osapuolelle, jonka kautta saat teknistä tukea. Nämä yhteystiedot saattavat muuttua ilman ennakkoilmoitusta. Emme takaa kolmannen osapuolen yhteystietojen tarkkuutta.

Facebook LinkedIn Sähköposti
TILAA RSS-SYÖTTEET

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Microsoft 365 -tilaukseen kuuluvat edut

Microsoft 365 -koulutus

Microsoftin suojaus

Helppokäyttökeskus