Dotyczy
Windows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Local, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 DO_NOT_USE_Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2025

Oryginalna data publikacji: 20 lutego 2025 r.

Identyfikator BAZY WIEDZY: 5054215

Zmień datę

Zmień opis

4 marca 2025 r.

  • Objaśniono treść w sekcji "Wskazówki dotyczące obejścia ograniczeń długości ciągu".

Wprowadzenie

Zasady hosta do obszaru w protokołu Kerberos służą do mapowania hosta (takiego jak komputer kliencki lub serwer) na określony obszar Kerberos. Aby uzyskać więcej informacji, zobacz Zasady CSP — ADMX_Kerberos.

W tym artykule opisano ograniczenia długości ciągów w zasadach hosta do obszaru dla protokołu Kerberos, scenariuszach, w których mają zastosowanie ograniczenia, oraz przedstawiono wskazówki dotyczące przezwyciężenia ograniczeń.

Jakie są ograniczenia długości ciągu?

  • Limit znaków interfejsu użytkownika dla nazw hostów: Kontrolka zasady grupy Redaktor używana do wprowadzania danych nie ładuje więcej niż 1024 znaków do wpisu listy plików hosta obszaru. Można jednak wpisać maksymalnie 32 767 znaków i pomyślnie zapisać je w pliku registry.pol.

  • Limit znaków dla nazw hostów: Klient Kerberos czytający to ustawienie na urządzeniu, na którym obowiązują zasady, ma limit twardy 2048 znaków dla listy nazw hostów.

W jakich scenariuszach mają zastosowanie ograniczenia?

Ograniczenia długości ciągu mają zastosowanie w następujących scenariuszach:

  • Posiadasz domena usługi Active Directory i inne sfery, takie jak FreeBSD lub Linux z zaufaniem MIT.

  • Obsługujesz wiele sufiksów nazw spn lub listę hostów zamapowanych ręcznie na obszar, w którym jest zaufany las usługi AD.

Podczas ustawiania zasad mapowania hosta do obszaru w zasady grupy domeny można zdefiniować następujące pola:

  • Nazwa zasad: Zdefiniuj mapowania obszaru hosta na kerberos,

  • Podklucz rejestru: domain_realm.

Pobranie biletu dla jednego z tych hostów może zakończyć się niepowodzeniem, ponieważ poza określoną długością ciągów hosta zasady grupy Redaktor nie wyświetla listy gospodarzy. Zamiast tego pola "nazwa wartości" i "wartość" są puste.

Wskazówki dotyczące obejścia ograniczeń długości ciągu

  • Limit interfejsu użytkownika: Aby uniknąć problemu podczas wprowadzania długich ciągów w zasady grupy Redaktor ADMX, możesz utworzyć osobny plik tekstowy zawierający listę nazw hostów. Podczas aktualizowania listy hostów należy odpowiednio zmodyfikować ten plik tekstowy. Później możesz otworzyć zasady i wkleić zaktualizowany ciąg do kontrolki edycji dla odpowiedniego mapowania obszaru.Możesz również użyć polecenia cmdlet Set-GPRegistryValue PowerShell z pliku skryptu. Umożliwia również przekazywanie długi ciąg jako parametr, aby dodać go do zasady grupy.

  • Limit długości nazwy hosta wpisu rejestru: Od lutego 2025 r. limit znaków dla nazw hostów wynosi 2048 znaków, jeśli używasz ustawienia ADMX zasady grupy lub InTune CSP.

    Istnieje obejście, które nie wymaga zasady grupy. Możesz użyć polecenia ksetup /addhosttorealmmap , jak opisano w przewodniku ksetup addhosttorealmmap. Ta metoda jest ograniczona tylko przez ogólny rozmiar gałęzi rejestru dla limitów ula SYSTEM i sterty.

    Za pomocą preferencji zasady grupy rejestru można również rozpowszechniać mapowania hostów przy użyciu danych przechowywanych przez polecenie ksetup /addhosttorealmmap w następującym podkluczu rejestru:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\HostToRealm

    Aby utworzyć to ustawienie w rejestrze zasady grupy Preferencje, użyj polecenia cmdlet Programu PowerShell Set-GPPrefRegistryValue.

Informacje pomocnicze

​​​​​​​​​​​​​​Zastrzeżenie dotyczące innych firm

Produkty innych firm omawiane w tym artykule są tworzone przez firmy niezależne od firmy Microsoft. Nie udzielamy żadnych gwarancji, dorozumianych lub innych, dotyczących wydajności lub niezawodności tych produktów.

Udostępnimy informacje kontaktowe innych firm ułatwiające znajdowanie pomocy technicznej. Niniejsze informacje kontaktowe mogą ulec zmianie bez powiadomienia. Nie gwarantujemy, że podane informacje kontaktowe innych firm są dokładne.

Facebook LinkedIn Adres e-mail
ZASUBSKRYBUJ KANAŁY INFORMACYJNE RSS

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Korzyści z subskrypcji platformy Microsoft 365

Szkolenia dotyczące platformy Microsoft 365

Rozwiązania dotyczące zabezpieczeń firmy Microsoft

Centrum ułatwień dostępu