Gjelder for
Windows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Local, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 DO_NOT_USE_Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2025

Opprinnelig publiseringsdato: 20. februar 2025 kl.

KB-ID: 5054215

Endre dato

Endre beskrivelse

4. mars 2025 kl.

  • Klargjorde ordlyden i delen «Veiledning for å omgå begrensningene i strenglengden».

Innledning

Vert-til-område-policyen i Kerberos brukes til å tilordne en vert (for eksempel en klientdatamaskin eller server) til et bestemt Kerberos-område. Hvis du vil ha mer informasjon, kan du se Policy-CSP - ADMX_Kerberos.

Denne artikkelen beskriver begrensninger for strenglengde i vert-til-område-policyen for Kerberos, scenarioer der begrensningene gjelder, og gir veiledning om hvordan du kan overvinne begrensningene.

Hva er begrensningene for strenglengde?

  • Brukergrensesnittets tegngrense for vertsnavn: Kontrollen gruppepolicy Redaktør som brukes til å skrive inn dataene, lastes ikke inn mer enn 1 024 tegn i oppføringen for områdevertens filliste. Du kan imidlertid skrive inn opptil 32 767 tegn og skrive disse til registry.pol.

  • Tegngrense for vertsnavn: Kerberos-klienten som leser denne innstillingen på enheten der policyen gjelder, har en hard grense på 2 048 tegn for vertsnavnlisten.

I hvilke scenarioer gjelder begrensningene?

Begrensningene for strenglengde gjelder i følgende scenarioer:

  • Du har et Active Directory-domene og et tredjepartsområde som FreeBSD eller Linux med en MIT-klarering.

  • Du støtter flere SPN-suffikser eller en liste over verter som er tilordnet manuelt til området som stoler på AD-skogen.

Når du angir tilordningspolicyen for vert-til-område i Domene-gruppepolicy, kan følgende felt defineres:

  • Policynavn: Definer områdetilordninger for vertsnavn til Kerberos,

  • Registerundernøkkel: domain_realm.

Henting av en billett for en av disse vertene kan mislykkes siden utover en viss lengde på vertsstrengene, gruppepolicy Redaktør viser ikke listen over verter. I stedet er «verdinavn»- og «verdi»-feltene tomme.

Veiledning for å omgå begrensningene for strenglengde

  • Grensesnittgrensen: Hvis du vil unngå problemer med å skrive inn lange strenger i ADMX-gruppepolicy Redaktør, kan du opprette en egen tekstfil som inneholder vertsnavnlisten. Når du oppdaterer listen over verter, må du endre denne tekstfilen tilsvarende. Etterpå kan du åpne policyen og lime inn den oppdaterte strengen i redigeringskontrollen for den aktuelle områdetilordningen.Du kan også bruke Set-GPRegistryValue PowerShell-cmdleten fra en skriptfil. Den gjør det også mulig å sende en lang streng som parameter for å legge den til i gruppepolicy.

  • Lengdegrensen for vertsnavn for registeroppføring: Per februar 2025 kan ikke tegngrensen på 2048 tegn for vertsnavn unngås når du bruker ADMX-gruppepolicy- eller InTune CSP-innstillingen.

    Det finnes en midlertidig løsning som ikke krever gruppepolicy. Du kan bruke kommandoen ksetup /addhosttorealmmap , som dokumentert i veiledningen for ksetup addhosttorealmmap. Denne tilnærmingen begrenses bare av den generelle registerstrukturstørrelsen for SYSTEM-strukturen og heap-grensene.

    Du kan også bruke Registerinnstillinger gruppepolicy til å distribuere vertstilordningene ved hjelp av dataene som er lagret av kommandoen ksetup /addhosttorealmmap i følgende registerundernøkkel:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\HostToRealm

    Hvis du vil opprette denne innstillingen i registeret gruppepolicy Innstillinger, kan du bruke PowerShell cmdlet Set-GPPrefRegistryValue.

Referanser

​​​​​​​​​​​​​​Ansvarsfraskrivelse for tredjepartsinformasjon

Tredjepartsproduktene som beskrives i denne artikkelen, er utviklet av firmaer som er uavhengige av Microsoft. Vi gir ingen garantier, indirekte eller på andre måter, om ytelsen eller påliteligheten til disse produktene.

Vi tilbyr kontaktinformasjon om tredjeparter for å hjelpe deg å finne teknisk støtte. Denne kontaktinformasjonen kan endres uten varsel. Vi garanterer ikke nøyaktigheten til kontaktinformasjonen om tredjeparter.

Facebook LinkedIn E-post
ABONNER PÅ RSS-FEEDER

Trenger du mer hjelp?

Vil du ha flere alternativer?

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Abonnementsfordeler for Microsoft 365

Microsoft 365-opplæring

Microsoft Sikkerhet

Tilgjengelighetssenter