תאריך פרסום מקורי: (יום שלישי 20 פברואר 2025)
מזהה KB: 5054215
|
שנה תאריך |
שינוי תיאור |
|
ה-4 במרץ 2025 |
|
מבוא
מדיניות המארח לתחום ב- Kerberos משמשת למיפוי מחשב מארח (כגון מחשב לקוח או שרת) לתחום Kerberos ספציפי. לקבלת מידע נוסף, ראה CSP של מדיניות - ADMX_Kerberos.
מאמר זה מתאר מגבלות אורך מחרוזת במדיניות של מארח-לתחום עבור Kerberos, תרחישים שבהם חלות המגבלות ומספק הדרכה לגבי האופן שבו ניתן להתגבר על המגבלות.
מהן מגבלות אורך המחרוזת?
-
מגבלת תווים של ממשק משתמש (UI) עבור שמות מארחים: פקד מדיניות קבוצתית עורך המשמש להזנת הנתונים אינו טוען יותר מ- 1,024 תווים בערך רשימת הקבצים המארחים של התחום. עם זאת, באפשרותך להקליד עד 32,767 תווים ולכתוב אותם בהצלחה ב - registry.pol.
-
מגבלת תווים עבור שמות מארחים: לקוח Kerberos שקריאת הגדרה זו במכשיר שבו המדיניות חלה כולל מגבלה קשיחה של 2,048 תווים עבור רשימת שמות המארחים.
באילו תרחישים חלות המגבלות?
מגבלות אורך המחרוזת חלות בתרחישים הבאים:
-
יש לך תחום Active Directory ותחום של ספק חיצוני כגון FreeBSD או Linux עם אמון MIT.
-
אתה תומך במספר סיומות SPN או ברשימת אירוחים הממופים באופן ידני לתחום שבו אמון ביער AD.
בעת הגדרת מדיניות המיפוי של מחשב מארח לתחום בתיבת מדיניות קבוצתית, ניתן להגדיר את השדות הבאים:
-
שם מדיניות: הגדר מיפויי תחום של שם מחשב מארח ל- Kerberos,
-
מפתח משנה של הרישום: domain_realm.
אחזור כרטיס עבור אחד ממארחים אלה עשוי שלא הצליחה מאחר שמעבר לאורך מסוים של מחרוזות המחשב המארח, מדיניות קבוצתית עורך אינו מציג את רשימת המארחים. במקום זאת, השדות "value name" ו- "value" ריקים.
הדרכה לעקוף את המגבלות באורך המחרוזת
-
מגבלת ממשק המשתמש: כדי למנוע את הבעיה בהזנת מחרוזות ארוכות ב- ADMX מדיניות קבוצתית עורך, באפשרותך ליצור קובץ טקסט נפרד המכיל את רשימת שמות המארחים. בעת עדכון רשימת המארחים, יהיה עליך לשנות קובץ טקסט זה בהתאם. לאחר מכן, באפשרותך לפתוח את המדיניות ולהדביק את המחרוזת המעודכנת בפקד העריכה עבור המיפוי הרלוונטי לתחום.באפשרותך גם להשתמש ב- cmdlet של Set-GPRegistryValue PowerShell מקובץ Script. היא גם מאפשרת להעביר מחרוזת ארוכה בתור פרמטר כדי להוסיף אותה מדיניות קבוצתית.
-
מגבלת האורך של שם המחשב המארח של ערך הרישום: נכון לפברואר 2025, לא ניתן להימנע ממגבלת התווים של 2,048 תווים עבור שמות מארחים בעת שימוש בהגדרה ADMX מדיניות קבוצתית או InTune CSP.
קיים פתרון שאינו דורש מדיניות קבוצתית. באפשרותך להשתמש בפקודה ksetup /addhosttorealmmap , כפי שצוין במדריך addhosttorealmmap של ksetup. גישה זו מוגבלת רק על-ידי גודל הכוורת הכללית של הרישום עבור כוורת מערכת ומגבלות זיכרון.
באפשרותך גם להשתמש בפקודה Registry מדיניות קבוצתית Preferences כדי להפיץ את מיפויי המחשב המארח באמצעות הנתונים המאוחסנים על-ידי הפקודה ksetup /addhosttorealmmap במפתח המשנה הבא של הרישום:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\HostToRealm
כדי ליצור הגדרה זו בהגדרות מדיניות קבוצתית, השתמש ב- cmdlet של PowerShell Set-GPPrefRegistryValue.
ספרי עזר
כתב ויתור על מידע של ספקים חיצוניים
מוצרי צד שלישי שבהם דן מאמר זה מיוצרים על-ידי חברות שאינן תלויות ב- Microsoft. אנחנו לא נושאים בכל אחריות, משתמעת או אחרת, לגבי הביצועים או המהימנות של מוצרים אלה.
אנו מספקים את פרטי הקשר של ספקים חיצוניים כדי לסייע לך לאתר תמיכה טכנית. פרטי קשר אלה עשויים להשתנות ללא הודעה. איננו מתחייבים שפרטי הקשר של ספק חיצוני זה יהיו מדויקים.
