Si applica a
Windows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Local, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 DO_NOT_USE_Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2025

Data di pubblicazione originale: 20 febbraio 2025

ID KB: 5054215

Modifica data

Modificare la descrizione

4 marzo 2025

  • È stato chiarito il testo nella sezione "Linee guida per aggirare i limiti di lunghezza delle stringhe".

Introduzione

I criteri host-to-realm in Kerberos vengono usati per eseguire il mapping di un host, ad esempio un computer client o un server, a un'area di autenticazione Kerberos specifica. Per altre informazioni, vedi Criteri CSP - ADMX_Kerberos.

Questo articolo descrive le limitazioni della lunghezza delle stringhe nei criteri da host a area di autenticazione per Kerberos, scenari in cui si applicano le limitazioni e fornisce indicazioni su come superare le limitazioni.

Quali sono le limitazioni della lunghezza delle stringhe?

  • Limite di caratteri dell'interfaccia utente per i nomi host: Il controllo Criteri di gruppo Editor utilizzato per immettere i dati non carica più di 1.024 caratteri nella voce elenco file host area di autenticazione. Tuttavia, è possibile digitare fino a 32.767 caratteri e scriverli correttamente in registry.pol.

  • Limite di caratteri per i nomi host: Il client Kerberos che legge questa impostazione nel dispositivo in cui si applica il criterio ha un limite massimo di 2.048 caratteri per l'elenco dei nomi host.

In quali scenari si applicano le limitazioni?

Le limitazioni relative alla lunghezza delle stringhe si applicano negli scenari seguenti:

  • Hai un Dominio di Active Directory e un'area di autenticazione di terze parti come FreeBSD o Linux con un trust MIT.

  • Sono supportati più suffissi SPN o un elenco di host mappati manualmente all'area di autenticazione che considera attendibile la foresta active directory.

Quando si imposta il criterio di mapping host-to-realm nella Criteri di gruppo dominio, è possibile definire i campi seguenti:

  • Nome criterio: Definire mapping nome host-area di autenticazione Kerberos,

  • Sottochiave del Registro di sistema: domain_realm.

Il recupero di un ticket per uno di questi host potrebbe non riuscire perché oltre una certa lunghezza delle stringhe host, il Criteri di gruppo Editor non mostra l'elenco degli host. I campi "nome valore" e "valore" sono invece vuoti.

Indicazioni per aggirare i limiti di lunghezza delle stringhe

  • Il limite dell'interfaccia utente: Per evitare il problema di immissione di stringhe lunghe in CRITERI DI GRUPPO EDITOR ADMX, è possibile creare un file di testo separato contenente l'elenco dei nomi host. Quando si aggiorna l'elenco degli host, è necessario modificare questo file di testo di conseguenza. In seguito, è possibile aprire il criterio e incollare la stringa aggiornata nel controllo di modifica per il mapping dell'area di autenticazione pertinente.È anche possibile usare il cmdlet Set-GPRegistryValue di PowerShell da un file di script. Consente inoltre di passare una stringa lunga come parametro per aggiungerla al Criteri di gruppo.

  • Limite di lunghezza del nome host della voce del Registro di sistema: A partire da febbraio 2025, non è possibile evitare il limite di caratteri di 2.048 caratteri per i nomi host quando si usa l'impostazione ADMX Criteri di gruppo o InTune CSP.

    È disponibile una soluzione alternativa che non richiede Criteri di gruppo. È possibile usare il comando ksetup /addhosttorealmmap , come documentato nella guida ksetup addhosttorealmmap. Questo approccio è limitato solo dalla dimensione generale dell'hive del Registro di sistema per l'hive SYSTEM e i limiti dell'heap.

    È anche possibile utilizzare il Registro di sistema Criteri di gruppo Preferenze per distribuire i mapping host utilizzando i dati archiviati dal comando ksetup /addhosttorealmmap nella sottochiave del Registro di sistema seguente:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\HostToRealm

    Per creare questa impostazione nel Registro di sistema Criteri di gruppo Preferenze, usare il cmdlet PowerShell Set-GPPrefRegistryValue.

Riferimenti

​​​​​​​​​​​​​​Informazioni sulla dichiarazione di non responsabilità di terze parti

I prodotti di terze parti descritti in questo articolo sono realizzati da società indipendenti da Microsoft. Non forniamo alcuna garanzia, implicita o di altro tipo, sulle prestazioni o sull'affidabilità di questi prodotti.

Forniamo informazioni di contatto di terze parti per aiutarti a trovare il supporto tecnico. Le informazioni di contatto sono soggette a modifica senza preavviso. Non garantiamo l'accuratezza delle informazioni di contatto di terze parti.

Facebook LinkedIn Posta elettronica
SOTTOSCRIVI FEED RSS

Serve aiuto?

Vuoi altre opzioni?

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Vantaggi dell'abbonamento a Microsoft 365

Formazione su Microsoft 365

Microsoft Security

Centro accessibilità