Van toepassing op
Windows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Local, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 DO_NOT_USE_Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2025

Oorspronkelijke publicatiedatum: dinsdag 20 februari 2025

KB-id: 5054215

Datum wijzigen

Beschrijving wijzigen

dinsdag 4 maart 2025

  • De tekst in de sectie 'Richtlijnen voor het omzeilen van de tekenreekslengtebeperkingen' is verduidelijkt.

Inleiding

Het host-to-realm-beleid in Kerberos wordt gebruikt om een host (zoals een clientcomputer of server) toe te wijzen aan een specifieke Kerberos-realm. Zie Beleids-CSP - ADMX_Kerberos voor meer informatie.

In dit artikel worden de beperkingen voor tekenreekslengte beschreven in het host-to-realm-beleid voor Kerberos, scenario's waarin de beperkingen van toepassing zijn en bevat richtlijnen voor het oplossen van de beperkingen.

Wat zijn de beperkingen voor de tekenreekslengte?

  • Tekenlimiet voor gebruikersinterface (UI) voor hostnamen: Het groepsbeleid Editor-besturingselement dat wordt gebruikt om de gegevens in te voeren, laadt niet meer dan 1024 tekens in de lijst met realmhostbestanden. U kunt echter maximaal 32.767 tekens typen en deze naar registry.pol schrijven.

  • Tekenlimiet voor hostnamen: De Kerberos-client die deze instelling leest op het apparaat waarop het beleid van toepassing is, heeft een vaste limiet van 2048 tekens voor de lijst met hostnamen.

In welke scenario's zijn de beperkingen van toepassing?

De beperkingen voor tekenreekslengte zijn van toepassing in de volgende scenario's:

  • U hebt een Active Directory-domein en een domein van derden zoals FreeBSD of Linux met een MIT-vertrouwensrelatie.

  • U ondersteunt meerdere SPN-achtervoegsels of een lijst met hosts die handmatig zijn toegewezen aan de realm die het AD-forest vertrouwt.

Bij het instellen van het host-to-realm-toewijzingsbeleid in het domein groepsbeleid, kunnen de volgende velden worden gedefinieerd:

  • Beleidsnaam: Hostnaam-aan-Kerberos-realmtoewijzingen definiëren,

  • Registersubsleutel: domain_realm.

Het ophalen van een ticket voor een van deze hosts kan niet lukken, omdat na een bepaalde lengte van de hosttekenreeksen de groepsbeleid Editor de lijst met hosts niet weergeeft. In plaats daarvan zijn de velden 'waardenaam' en 'waarde' leeg.

Richtlijnen voor het omzeilen van de tekenreekslengtebeperkingen

  • De gebruikersinterfacelimiet: Om het probleem met het invoeren van lange tekenreeksen in ADMX groepsbeleid Editor te voorkomen, kunt u een afzonderlijk tekstbestand maken met de hostnaamlijst. Wanneer u de lijst met hosts bijwerkt, moet u dit tekstbestand dienovereenkomstig wijzigen. Daarna kunt u het beleid openen en de bijgewerkte tekenreeks in het bewerkingsbesturingselement voor de relevante realmtoewijzing plakken.U kunt ook de PowerShell-cmdlet Set-GPRegistryValue gebruiken vanuit een scriptbestand. Hiermee kunt u ook een lange tekenreeks doorgeven aan als parameter om deze toe te voegen aan de groepsbeleid.

  • De limiet voor de lengte van de hostnaam van registervermelding: Vanaf februari 2025 kan de tekenlimiet van 2048 tekens voor hostnamen niet worden vermeden wanneer u de instelling ADMX groepsbeleid of InTune CSP gebruikt.

    Er is een tijdelijke oplossing waarvoor geen groepsbeleid is vereist. U kunt de opdracht ksetup /addhosttorealmmap gebruiken, zoals beschreven in de handleiding ksetup addhosttorealmmap. Deze benadering wordt alleen beperkt door de algemene hive-grootte van het register voor de SYSTEM-hive- en heap-limieten.

    U kunt ook de Register groepsbeleid Voorkeuren gebruiken om de hosttoewijzingen te distribueren met behulp van de gegevens die zijn opgeslagen door de opdracht ksetup /addhosttorealmmap in de volgende registersubsleutel:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\HostToRealm

    Als u deze instelling wilt maken in het register groepsbeleid Voorkeuren, gebruikt u de PowerShell-cmdlet Set-GPPrefRegistryValue.

Naslagwerken

​​​​​​​​​​​​​​Disclaimerinformatie van derden

De producten van derden die in dit artikel worden besproken, worden ontwikkeld door bedrijven die losstaan van Microsoft. We geven geen garantie, impliciet of anderszins, over de prestaties of betrouwbaarheid van deze producten.

We bieden contactgegevens van derden om u te helpen technische ondersteuning te vinden. Deze contactgegevens kunnen zonder voorafgaande kennisgeving worden gewijzigd. We kunnen de juistheid van deze contactgegevens van derden niet garanderen.

Facebook LinkedIn E-mail
RSS-FEEDS ABONNEREN

Meer hulp nodig?

Meer opties?

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Voordelen van Microsoft 365-abonnementen

Microsoft 365-training

Microsoft-beveiliging

Toegankelijkheidscentrum