S’applique à
Windows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Local, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 DO_NOT_USE_Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2025

Date de publication d’origine : 20 février 2025

ID de la base de connaissances : 5054215

Modifier la date

Modifier la description

4 mars 2025

  • Nous avons précisé le libellé de la section « Conseils pour contourner les limitations de longueur de chaîne ».

Introduction

La stratégie d’hôte à domaine dans Kerberos est utilisée pour mapper un hôte (tel qu’un ordinateur client ou un serveur) à un domaine Kerberos spécifique. Pour plus d’informations, consultez Fournisseur de services de configuration de stratégie - ADMX_Kerberos.

Cet article décrit les limitations de longueur de chaîne dans la stratégie d’hôte à domaine pour Kerberos, les scénarios dans lesquels les limitations s’appliquent et fournit des conseils sur la façon de surmonter les limitations.

Quelles sont les limitations de longueur de chaîne ?

  • Limite de caractères de l’interface utilisateur pour les noms d’hôte : Le contrôle stratégie de groupe Rédacteur utilisé pour entrer les données ne charge pas plus de 1 024 caractères dans l’entrée de liste des fichiers hôtes du domaine. Toutefois, vous pouvez taper jusqu’à 32 767 caractères et les écrire correctement dans registry.pol.

  • Limite de caractères pour les noms d’hôte : Le client Kerberos lisant ce paramètre sur l’appareil sur lequel la stratégie s’applique a une limite matérielle de 2 048 caractères pour la liste des noms d’hôte.

Dans quels scénarios les limitations s’appliquent-ils ?

Les limitations de longueur de chaîne s’appliquent dans les scénarios suivants :

  • Vous disposez d’un domaine Active Directory et d’un domaine tiers tel que FreeBSD ou Linux avec une approbation MIT.

  • Vous prenez en charge plusieurs suffixes SPN ou une liste d’hôtes mappés manuellement au domaine qui approuve la forêt AD.

Lors de la définition de la stratégie de mappage hôte-domaine dans l’stratégie de groupe domaine, les champs suivants peuvent être définis :

  • Nom de la stratégie : Définir des mappages de nom d’hôte à domaine Kerberos,

  • Sous-clé de Registre : domain_realm.

La récupération d’un ticket pour l’un de ces hôtes peut échouer, car au-delà d’une certaine longueur des chaînes hôtes, le stratégie de groupe Rédacteur n’affiche pas la liste des hôtes. Au lieu de cela, les champs « nom de la valeur » et « valeur » sont vides.

Conseils pour contourner les limitations de longueur de chaîne

  • Limite de l’interface utilisateur : Pour éviter le problème d’entrée de chaînes longues dans les stratégie de groupe Rédacteur ADMX, vous pouvez créer un fichier texte distinct contenant la liste des noms d’hôte. Lors de la mise à jour de la liste des hôtes, vous devez modifier ce fichier texte en conséquence. Ensuite, vous pouvez ouvrir la stratégie et coller la chaîne mise à jour dans le contrôle d’édition pour le mappage de domaine approprié.Vous pouvez également utiliser l’applet de commande PowerShell Set-GPRegistryValue à partir d’un fichier de script. Il permet également de passer une chaîne longue en tant que paramètre pour l’ajouter au stratégie de groupe.

  • Limite de longueur du nom d’hôte d’entrée du Registre : À compter de février 2025, la limite de caractères de 2 048 caractères pour les noms d’hôte ne peut pas être évitée lorsque vous utilisez le paramètre CSP ADMX stratégie de groupe ou InTune.

    Il existe une solution de contournement qui ne nécessite pas de stratégie de groupe. Vous pouvez utiliser la commande ksetup /addhosttorealmmap , comme indiqué dans le guide ksetup addhosttorealmmap. Cette approche est limitée uniquement par la taille générale des ruches du Registre pour les limites de ruches system et de tas.

    Vous pouvez également utiliser le Registre stratégie de groupe Préférences pour distribuer les mappages d’hôte à l’aide des données stockées par la commande ksetup /addhosttorealmmap dans la sous-clé de Registre suivante :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\HostToRealm

    Pour créer ce paramètre dans le Registre stratégie de groupe Préférences, utilisez l’applet de commande PowerShell Set-GPPrefRegistryValue.

Références

​​​​​​​​​​​​​​Exclusion de responsabilité de tiers

Les produits tiers mentionnés dans le présent article sont fabriqués par des sociétés indépendantes de Microsoft. Microsoft exclut toute garantie, implicite ou autre, concernant les performances ou la fiabilité de ces produits.

Microsoft fournit des informations de contact de sociétés tierces afin de vous aider à obtenir un support technique. Ces informations de contact peuvent être modifiées sans préavis. Microsoft ne garantit pas l’exactitude des informations concernant les sociétés tierces.

Facebook LinkedIn E-mail
ABONNER LES FLUX RSS

Besoin d’aide ?

Vous voulez plus d’options ?

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Avantages de l’abonnement Microsoft 365

Formation Microsoft 365

Sécurité Microsoft

Centre d’accessibilité