Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Local, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2025

元の発行日: 2025 年 2 月 20 日

KB ID: 5054215

日付の変更

説明を変更する

2025 年 3 月 4 日

  • 「文字列長の制限事項を回避するためのガイダンス」セクションの文言を明確にしました。

概要

Kerberos のホストから領域へのポリシーは、ホスト (クライアント コンピューターやサーバーなど) を特定の Kerberos 領域にマップするために使用されます。 詳細については、「 ポリシー CSP - ADMX_Kerberos」を参照してください。

この記事では、Kerberos のホストから領域へのポリシーの文字列長の制限事項、制限が適用されるシナリオ、および制限を克服する方法に関するガイダンスについて説明します。

文字列の長さの制限事項は何ですか?

  • ホスト名のユーザー インターフェイス (UI) 文字制限: データの入力に使用する グループ ポリシー エディター コントロールは、領域ホスト ファイル リスト エントリに 1,024 文字を超える文字を読み込むことはありません。 ただし、最大 32,767 文字を入力し、 registry.pol に正常に書き込むことができます。

  • ホスト名の文字制限: ポリシーが適用されるデバイスでこの設定を読み取る Kerberos クライアントには、ホスト名リストのハード制限は 2,048 文字です。

制限はどのようなシナリオで適用されますか?

文字列の長さの制限は、次のシナリオで適用されます。

  • Active Directory ドメインと、MIT の信頼を持つ FreeBSD や Linux などのサード パーティの領域があります。

  • AD フォレストを信頼する領域に手動でマップされた複数の SPN サフィックスまたはホストの一覧をサポートします。

ドメイン グループ ポリシーでホストと領域のマッピング ポリシーを設定する場合、次のフィールドを定義できます。

  • ポリシー名: ホスト名と Kerberos 領域のマッピングを定義します。

  • レジストリ サブキー: domain_realm。

これらのホストのいずれかのチケットの取得は、ホスト文字列の一定の長さを超えると、グループ ポリシー エディターにホストの一覧が表示されないため、失敗する可能性があります。 代わりに、"value name" フィールドと "value" フィールドは空です。

文字列の長さの制限事項を回避するためのガイダンス

  • UI の制限: ADMX グループ ポリシー エディターに長い文字列を入力する際の問題を回避するには、ホスト名リストを含む別のテキスト ファイルを作成します。 ホストの一覧を更新するときは、それに応じてこのテキスト ファイルを変更する必要があります。 その後、ポリシーを開き、更新された文字列を関連する領域マッピングの編集コントロールに貼り付けることができます。スクリプト ファイルから Set-GPRegistryValue PowerShell コマンドレットを使用することもできます。 また、長い文字列を パラメーターとして渡して、グループ ポリシーに追加することもできます。

  • レジストリ エントリのホスト名の長さの制限: 2025 年 2 月の時点で、ADMX グループ ポリシーまたは InTune CSP 設定を使用する場合、ホスト名の文字数制限 2,048 文字を回避できません。

    グループ ポリシーを必要としない回避策があります。 ksetup addhosttorealmmap ガイドに記載されているように、ksetup /addhosttorealmmap コマンドを使用できます。 この方法は、SYSTEM Hive とヒープの制限に関する一般的なレジストリ ハイブ サイズによってのみ制限されます。

    次のレジストリ サブキーで ksetup /addhosttorealmmap コマンドによって格納されているデータを使用して、レジストリ グループ ポリシー基本設定を使用してホスト マッピングを分散することもできます。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\HostToRealm

    レジストリ グループ ポリシー基本設定でこの設定を作成するには、PowerShell コマンドレット Set-GPPrefRegistryValue を使用してください。

参考文献

​​​​​​​​​​​​​​サードパーティの情報に関する免責事項

この資料に記載されているサードパーティ製品は、マイクロソフトと関連のない他社の製品です。 明示的か黙示的かにかかわらず、これらの製品のパフォーマンスや信頼性についてマイクロソフトはいかなる責任も負わないものとします。

Microsoft は、ユーザーがテクニカル サポートを見つけるため、サード パーティの連絡先を提供しています。 将来予告なしに変更されることがあります。 Microsoft は、サード パーティの連絡先情報の正確性を保証していません。

Facebook LinkedIn メール
RSS フィードを購読する

ヘルプを表示

その他のオプションが必要ですか?

サブスクリプションの特典の参照、トレーニング コースの閲覧、デバイスのセキュリティ保護方法などについて説明します。

Microsoft 365 サブスクリプションの特典

Microsoft 365 のトレーニング

Microsoft Security

アクセシビリティ センター