Attiecas uz
Windows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Local, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 DO_NOT_USE_Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2025

Sākotnējās publicēšanas datums: 2025. gada 20. februāris

KB ID: 5054215

Datuma maiņa

Apraksta maiņa

2025. gada 4. marts

  • Apvārdojiet ap virknes garuma ierobežojumiem laukā "Norādījumi par darbu".

Ievads

Kerberos host-to-realm politika tiek izmantota, lai kartētu resursdatoru (piemēram, klienta datoru vai serveri) konkrētā Kerberos realmā. Papildinformāciju skatiet rakstā Politikas csp — ADMX_Kerberos.

Šajā rakstā aprakstīti virknes garuma ierobežojumi host-to-realm politikā par Kerberos, scenārijiem, kuros ierobežojumi ir spēkā, un sniegti norādījumi par to, kā novērst ierobežojumus.

Kādi ir virknes garuma ierobežojumi?

  • Lietotāja interfeisa (UI) rakstzīmju ierobežojums resursdatoru nosaukumiem: Datu grupas politika Redaktors izmantotā vadīkla neielādē vairāk par 1024 rakstzīmēm realm resursdatora failu saraksta ievadnē. Tomēr varat ierakstīt līdz 32 767 rakstzīmēm un sekmīgi uzrakstīt tās registry.pol.

  • Rakstzīmju ierobežojums resursdatoru nosaukumiem: Kerberos klients lasa šo iestatījumu ierīcē, kurā politika attiecas, ir stingrs resursdatora nosaukumu saraksta 2048 rakstzīmju ierobežojums.

Kādās scenārijos tiek piemēroti ierobežojumi?

Virknes garuma ierobežojumi attiecas šādos scenārijos:

  • Jums ir Active Directory domēns un trešās puses reālisms, piemēram, FreeBSD vai Linux ar MIT trust.

  • Jūs atbalstat vairākus SPN sufiksus vai manuāli kartētu resursdatoru sarakstu uz realmu, kas uzticas AD mežam.

Iestatot resursdatora-reālas kartēšanas politiku domēna kartēšanas grupas politika iespējams definēt šādus laukus:

  • Politikas nosaukums: Resursdatora nosaukumdošanas -kerberos nosaukumdošanas kartējumu definēšana

  • Reģistra apakšatslēga: domain_realm.

Viena no šiem resursdatoriem biļešu izgūšana var būt nesekmīga, jo pārsniedzot noteiktu resursdatora virkņu garumu, grupas politika Redaktors nav redzams resursdatoru saraksts. Tā vietā lauki "vērtības nosaukums" un "vērtība" ir tukši.

Norādījumi par to, kā apiet virknes garuma ierobežojumus

  • UI ierobežojums: Lai novērstu problēmu, ievadot garas virknes ADMX grupas politika Redaktors, varat izveidot atsevišķu teksta failu, kurā iekļauts resursdatora nosaukumu saraksts. Atjauninot resursdatoru sarakstu, jums attiecīgi vajadzēs modificēt šo teksta failu. Pēc tam varat atvērt politiku un ielīmēt atjaunināto virkni atbilstošās reāllaika kartēšanas rediģēšanas vadīklā.Varat arī izmantot Set-GPRegistryValue PowerShell cmdlet no skripta faila. Tā arī ļauj kā parametru nodot garu virkni, lai to pievienotu grupas politika.

  • Reģistra ieraksta resursdatora nosaukuma garuma ierobežojums: No 2025. gada februāra rakstzīmju ierobežojumu , kas ir 2048. gada rakstzīmju ierobežojums resursdatoru nosaukumiem, nevar izvairīties, ja izmantojat ADMX grupas politika vai InTune CSP iestatījumu.

    Ir risinājums, kam nav nepieciešama grupas politika. Varat izmantot komandu ksetup /addhosttorealmap , kā dokumentēts ksetup addhosttorealmmap rokasgrāmatā. Šo pieeju ierobežo tikai vispārīgais reģistra stropu lielums SYSTEM stropam un heap ierobežojumiem.

    Varat arī izmantot reģistra grupas politika Preferences, lai izplatītu resursdatora kartējumus, izmantojot ksetup /addhosttorealmmap saglabātos datus šādā reģistra apakšatslēgā:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\HostToRealm

    Lai izveidotu šo iestatījumu reģistra grupas politika Preferences, lūdzu, izmantojiet PowerShell cmdlet Set-GPPrefRegistryValue.

Uzziņas

​​​​​​​​​​​​​​Trešās puses informācijas atruna

Šajā rakstā aprakstītos trešo pušu produktus ražo no korporācijas Microsoft neatkarīgi uzņēmumi. Mēs nedodam ne tiešu, ne netiešu garantiju šo produktu veiktspējai vai uzticamībai.

Mēs nodrošinām trešās puses kontaktinformāciju, lai palīdzētu jums atrast tehnisko atbalstu. Šī kontaktinformācija var tikt mainīta bez iepriekšēja paziņojuma. Mēs negarantējam šīs trešo pušu kontaktinformācijas precizitāti.

Facebook LinkedIn E-pasts
ABONĒT RSS PLŪSMAS

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Microsoft 365 abonementa priekšrocības

Microsoft 365 apmācība

Microsoft drošība

Pieejamības centrs