Pradinė publikavimo data: 2025 m. vasario 20 d.
KB ID: 5054215
|
Keisti datą |
Keisti aprašą |
|
2025 m. kovo 4 d. |
|
Įvadas
"Kerberos" pagrindinio kompiuterio srities strategija naudojama susieti pagrindinį kompiuterį (pvz., kliento kompiuterį arba serverį) su konkrečia "Kerberos" realme. Daugiau informacijos žr. Strategijos debesies sprendimų teikėjas – ADMX_Kerberos.
Šiame straipsnyje aprašomi eilučių ilgio apribojimai "Kerberos" pagrindinio kompiuterio ir srities strategijoje, scenarijai, kai taikomi apribojimai, ir pateikiama patarimų, kaip pašalinti apribojimus.
Kokie yra eilutės ilgio apribojimai?
-
Pagrindinio kompiuterio vardų vartotojo sąsajos (UI) simbolių limitas: Grupės strategija Redaktorius valdiklis, naudojamas įvedant duomenis, neįkelia daugiau nei 1 024 simbolių į srities pagrindinio kompiuterio failų sąrašo įrašą. Tačiau galite įvesti iki 32 767 simbolių ir sėkmingai įrašyti juos į registry.pol.
-
Pagrindinio kompiuterio vardų simbolių limitas: "Kerberos" klientas skaito šį parametrą įrenginyje, kuriame taikoma strategija, pagrindinio kompiuterio vardų sąrašui taikomas griežtas 2 048 simbolių apribojimas.
Kokiais scenarijais taikomi apribojimai?
Eilutės ilgio apribojimai taikomi šiais atvejais:
-
Turite "Active Directory" domeną ir trečiosios šalies sritį, pvz., "FreeBSD" arba "Linux" su MIT patikimumu.
-
Palaikote kelis SPN plėtinius arba pagrindinių kompiuterių sąrašą, rankiniu būdu susietą su karalystė, kuri pasitiki AD mišku.
Nustatant pagrindinio kompiuterio ir srities susiejimo strategiją domeno Grupės strategija galima apibrėžti šiuos laukus:
-
Strategijos pavadinimas: Apibrėžti pagrindinio kompiuterio vardo ir "Kerberos" sąsajas,
-
Registro dalinis raktas: domain_realm.
Vieno iš šių pagrindinių kompiuterių kvito nuskaitymas gali būti nesėkmingas, nes už tam tikro ilgio pagrindinių kompiuterių eilučių Grupės strategija Redaktorius nerodo pagrindinių kompiuterių sąrašo. Vietoj to laukai "reikšmės pavadinimas" ir "reikšmės" yra tušti.
Rekomendacijos, kaip apeiti eilutės ilgio apribojimus
-
Vartotojo sąsajos limitas: Norėdami išvengti ilgų eilučių įvedimo Į ADMX Grupės strategija Redaktorius, galite sukurti atskirą tekstinį failą su pagrindinio kompiuterio vardų sąrašu. Naujindami pagrindinių kompiuterių sąrašą, turėsite atitinkamai modifikuoti šį tekstinį failą. Po to galite atidaryti strategiją ir įklijuoti atnaujintą eilutę į atitinkamo srities susiejimo redagavimo valdiklį.Taip pat galite naudoti Set-GPRegistryValue "PowerShell" cmdlet iš scenarijaus failo. Tai taip pat leidžia perduoti ilgą eilutę kaip parametrą, kad ji būtų įtraukiama į Grupės strategija.
-
Registro įrašo pagrindinio kompiuterio vardo ilgio apribojimas: Nuo 2025 m. vasario mėn., naudojant ADMX Grupės strategija arba "InTune" CSP parametrą, negalima išvengti pagrindinių kompiuterių vardų simbolių 2 048 simbolių apribojimo.
Yra sprendimo būdas, kurio nereikia Grupės strategija. Galite naudoti komandą ksetup /addhosttorealmmap , kaip nurodyta ksetup addhosttorealmmap vadove. Šį metodą riboja tik sistemos avilių ir netvarkiojo masyvo apribojimų bendrasis registro avilių dydis.
Taip pat galite naudoti registro Grupės strategija nuostatos, kad išplatintumėte pagrindinio kompiuterio susiejimus naudodami duomenis, saugomus ksetup /addhosttorealmmap komandos šiame daliniame registro rakte:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\HostToRealm
Norėdami sukurti šį parametrą registro Grupės strategija nuostatose, naudokite "PowerShell" cmdlet Set-GPPrefRegistryValue.
Nuorodos
Trečiosios šalies informacijos atsakomybės atsisakymas
Šiame straipsnyje aptariamus trečiųjų šalių produktus gamina nuo bendrovės „Microsoft“ nepriklausomos įmonės. Šių produktų veikimui ar patikimumui mes netaikome jokių numanomų ar kitokių garantijų.
Teikiame trečiųjų šalių kontaktinę informaciją, kad padėtume jums gauti techninę pagalbą. Ši kontaktinė informacija gali būti keičiama be pranešimo. Negarantuojame šios trečiųjų šalių kontaktinės informacijos tikslumo.