Berlaku Untuk
Windows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Local, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 DO_NOT_USE_Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2025

Tanggal penerbitan asli: 20 Februari 2025

ID KB: 5054215

Ubah tanggal

Ubah deskripsi

4 Maret 2025

  • Mengklarifikasi kata dalam bagian "Panduan untuk mengatasi batasan panjang string".

Pendahuluan

Kebijakan host-ke-realm di Kerberos digunakan untuk memetakan host (seperti komputer klien atau server) ke ranah Kerberos tertentu. Untuk informasi selengkapnya, silakan lihat Kebijakan CSP - ADMX_Kerberos.

Artikel ini menguraikan batasan panjang string dalam kebijakan host-ke-realm untuk Kerberos, skenario di mana batasan berlaku, dan memberikan panduan tentang cara mengatasi batasan.

Apa batasan panjang string?

  • Batas karakter Antarmuka Pengguna (UI) untuk Nama Host: Kontrol Kebijakan Grup Editor yang digunakan untuk memasukkan data tidak memuat lebih dari 1.024 karakter ke dalam entri daftar file host realm. Namun, Anda dapat mengetik hingga 32.767 karakter dan berhasil menulisnya ke registri.pol.

  • Batas karakter untuk Nama Host: Klien Kerberos membaca pengaturan ini di perangkat tempat kebijakan diterapkan memiliki batasan yang keras 2.048 karakter untuk daftar nama host.

Dalam skenario apa batasan berlaku?

Batasan panjang string berlaku dalam skenario berikut:

  • Anda memiliki Domain Direktori Aktif dan ranah pihak ketiga seperti FreeBSD atau Linux dengan kepercayaan MIT.

  • Anda mendukung beberapa akhiran SPN atau daftar host yang dipetakan secara manual ke alam yang mempercayai hutan AD.

Saat mengatur kebijakan pemetaan host-ke-realm di Kebijakan Grup Domain, bidang berikut ini dapat ditentukan:

  • Nama kebijakan: Tentukan pemetaan realm nama host-ke-Kerberos,

  • Subkey registri: domain_realm.

Mengambil tiket untuk salah satu host ini mungkin tidak berhasil karena melampaui panjang string host tertentu, Kebijakan Grup Editor tidak memperlihatkan daftar host. Sebagai gantinya, bidang "nama nilai" dan "nilai" kosong.

Panduan untuk mengatasi batasan panjang string

  • Batas UI: Untuk menghindari masalah memasukkan string panjang di ADMX Kebijakan Grup Editor, Anda dapat membuat file teks terpisah yang berisi daftar nama host. Saat memperbarui daftar host, Anda harus mengubah file teks ini sesuai keinginan. Setelah itu, Anda dapat membuka kebijakan dan menempelkan string yang diperbarui ke kontrol edit untuk pemetaan alam yang relevan.Anda juga dapat menggunakan cmdlet Set-GPRegistryValue PowerShell dari file skrip. Ini juga memungkinkan meneruskan string panjang sebagai parameter untuk menambahkannya ke Kebijakan Grup.

  • Batas panjang nama host Entri Registri: Mulai Februari 2025, batas karakter 2.048 karakter untuk nama host tidak dapat dihindari ketika Anda menggunakan pengaturan ADMX Kebijakan Grup atau InTune CSP.

    Ada solusi yang tidak memerlukan Kebijakan Grup. Anda dapat menggunakan perintah ksetup /addhosttorealmmap , seperti yang didokumentasikan dalam panduan addhosttorealmmap ksetup. Pendekatan ini hanya dibatasi oleh ukuran sarang registri umum untuk batas sarang dan tumpukan SISTEM.

    Anda juga dapat menggunakan Preferensi registri Kebijakan Grup untuk mendistribusikan pemetaan host menggunakan data yang disimpan oleh perintah ksetup /addhosttorealmmap dalam subkey registri berikut:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\HostToRealm

    Untuk membuat pengaturan ini dalam registri Kebijakan Grup Preferensi, silakan gunakan cmdlet PowerShell Set-GPPrefRegistryValue.

Referensi

​​​​​​​​​​​​​​Sanggahan informasi pihak ketiga

Produk pihak ketiga yang dibahas dalam artikel ini dibuat oleh perusahaan yang bukan merupakan bagian dari Microsoft. Kami tidak memberikan jaminan, baik tersirat maupun tersurat, terkait kinerja atau keandalan produk ini.

Kami menyediakan informasi kontak pihak ketiga untuk membantu Anda menemukan dukungan teknis. Informasi kontak ini dapat berubah tanpa pemberitahuan. Kami tidak menjamin keakuratan informasi kontak pihak ketiga ini.

Facebook LinkedIn Email
BERLANGGANAN FEED RSS

Perlu bantuan lainnya?

Ingin opsi lainnya?

Jelajahi manfaat langganan, telusuri kursus pelatihan, pelajari cara mengamankan perangkat Anda, dan banyak lagi.

Keuntungan langganan Microsoft 365

Pelatihan Microsoft 365

Keamanan Microsoft

Pusat aksesibilitas