Aplica-se aWindows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Local, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2025

Data de publicação original: 20 de fevereiro de 2025

ID do KB: 5054215

Data da alteração

Alterar descrição

4 de março de 2025

  • Esclareceu a redação na seção "Diretrizes para contornar as limitações de comprimento da cadeia de caracteres".

Introdução

A política host-to-realm em Kerberos é usada para mapear um host (como um computador cliente ou servidor) para um reino Kerberos específico. Para obter mais informações, consulte Política CSP – ADMX_Kerberos.

Este artigo descreve limitações de comprimento de cadeia de caracteres na política host-to-realm para Kerberos, cenários em que as limitações se aplicam e fornece diretrizes sobre como superar as limitações.

Quais são as limitações de comprimento da cadeia de caracteres?

  • Limite de caracteres da interface do usuário (interface do usuário) para Nomes de Host: O Controle de Política de Grupo Editor usado para inserir os dados não carrega mais de 1.024 caracteres na entrada da lista de arquivos do host. No entanto, você pode digitar até 32.767 caracteres e gravá-los com êxito em Registry.pol.

  • Limite de caracteres para Nomes de Host: O cliente Kerberos que lê essa configuração no dispositivo em que a política se aplica tem um limite rígido de 2.048 caracteres para a lista de nomes do host.

Em quais cenários as limitações se aplicam?

As limitações de comprimento da cadeia de caracteres se aplicam nos seguintes cenários:

  • Você tem um Domínio do Active Directory e um reino de terceiros, como FreeBSD ou Linux com uma confiança do MIT.

  • Você dá suporte a vários sufixos SPN ou uma lista de hosts mapeados manualmente para o reino que confia na floresta do AD.

Ao definir a política de mapeamento host a realm no domínio Política de Grupo, os seguintes campos podem ser definidos:

  • Nome da política: Definir mapeamentos de nome do host para Kerberos,

  • Subchave do Registro: domain_realm.

Recuperar um tíquete para um desses hosts pode não ter êxito, pois além de um determinado comprimento das cadeias de caracteres do host, o Política de Grupo Editor não mostra a lista de hosts. Em vez disso, os campos "nome do valor" e "valor" estão vazios.

Diretrizes para contornar as limitações de comprimento da cadeia de caracteres

  • O limite da interface do usuário: Para evitar o problema de inserir cadeias de caracteres longas no ADMX Política de Grupo Editor, você pode criar um arquivo de texto separado contendo a lista de nomes do host. Ao atualizar a lista de hosts, você precisará modificar esse arquivo de texto de acordo. Depois, você pode abrir a política e colar a cadeia de caracteres atualizada no controle de edição para o mapeamento de domínio relevante.Você também pode usar o cmdlet Set-GPRegistryValue PowerShell de um arquivo de script. Ele também permite passar uma cadeia de caracteres longa como parâmetro para adicioná-la à Política de Grupo.

  • O limite de comprimento do nome do host da Entrada do Registro: A partir de fevereiro de 2025, o limite de caracteres de 2.048 caracteres para nomes de host não pode ser evitado quando você usa a configuração ADMX Política de Grupo ou CSP do InTune.

    Há uma solução alternativa que não requer Política de Grupo. Você pode usar o comando ksetup /addhosttorealmmap , conforme documentado no guia addhosttorealmmap ksetup. Essa abordagem é limitada apenas pelo tamanho geral do hive do registro para os limites system hive e heap.

    Você também pode usar o Registro Política de Grupo Preferências para distribuir os mapeamentos do host usando os dados armazenados pelo comando ksetup/addhosttorealmmap na seguinte subchave de registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\HostToRealm

    Para criar essa configuração no Registro Política de Grupo Preferências, use o cmdlet Do PowerShell Set-GPPrefRegistryValue.

Referências

​​​​​​​​​​​​​​Aviso de isenção de responsabilidade para informações de terceiros

Os produtos de terceiros mencionados neste artigo são produzidos por empresas independentes da Microsoft. Não oferecemos nenhuma garantia, implícita ou não, do desempenho ou da confiabilidade desses produtos.

Fornecemos informações de contato de terceiros para ajudá-lo a encontrar suporte técnico. Essas informações de contato podem ser alteradas sem aviso prévio. Não garantimos a precisão dessas informações para contato com outras empresas.

Facebook LinkedIn Email
ASSINAR RSS FEEDS

Precisa de mais ajuda?

Quer mais opções

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

Benefícios da assinatura do Microsoft 365

Treinamento do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade