Se aplică la
Windows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Local, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 DO_NOT_USE_Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2025

Data de publicare inițială: 20 februarie 2025

ID KB: 5054215

Modificare dată

Modificare descriere

4 martie 2025

  • Am clarificat formularea din secțiunea "Instrucțiuni pentru a ocoli limitările lungimii șirului".

Introducere

Politica host-to-realm din Kerberos este utilizată pentru a mapa o gazdă (cum ar fi un computer client sau un server) la un anumit domeniu Kerberos. Pentru mai multe informații, consultați CSP politică - ADMX_Kerberos.

Acest articol descrie limitările lungimii șirului în politica host-to-realm pentru Kerberos, scenariile în care se aplică limitările și oferă instrucțiuni despre cum să depășiți limitările.

Care sunt limitările lungimii șirului?

  • Limită de caractere interfață utilizator (UI) pentru nume de gazdă: Controlul Politică de grup Editor utilizat pentru introducerea datelor nu încarcă mai mult de 1.024 de caractere în intrarea din lista de fișiere gazdă a domeniului. Cu toate acestea, puteți să tastați până la 32.767 de caractere și să le scrieți cu succes la registry.pol.

  • Limită de caractere pentru nume de gazdă: Clientul Kerberos care citește această setare pe dispozitivul pe care se aplică politica are o limită de 2.048 de caractere pentru lista de nume de gazdă.

În ce scenarii se aplică limitările?

Limitările lungimii șirului se aplică în următoarele scenarii:

  • Aveți un domeniu Active Directory și un domeniu terț, cum ar fi FreeBSD sau Linux, cu o încredere MIT.

  • Acceptați mai multe sufixe SPN sau o listă de gazde mapate manual în domeniul care are încredere în pădurea AD.

Atunci când setați politica de mapare gazdă-la-domeniu în Politică de grup de domeniu, pot fi definite următoarele câmpuri:

  • Nume politică: Definiți mapările domeniului host name-to-Kerberos,

  • Subcheie de registry: domain_realm.

Obținerea unui tichet pentru una dintre aceste gazde poate fi nereușită, deoarece dincolo de o anumită lungime de șiruri gazdă, Politică de grup Editor nu afișează lista de gazde. În schimb, câmpurile "nume valoare" și "valoare" sunt goale.

Instrucțiuni pentru a evita limitările lungimii șirului

  • Limita interfeței de utilizator: Pentru a evita problema la introducerea șirurilor lungi în Politică de grup Editor ADMX, puteți crea un fișier text separat care conține lista de nume de gazdă. Atunci când actualizați lista de gazde, va trebui să modificați acest fișier text în mod corespunzător. După aceea, puteți să deschideți politica și să lipiți șirul actualizat în controlul de editare pentru maparea domeniului relevant.De asemenea, puteți utiliza cmdletul PowerShell Set-GPRegistryValue dintr-un fișier script. De asemenea, permite transmiterea unui șir lung ca parametru pentru a-l adăuga la Politică de grup.

  • Limita de lungime a numelui gazdei intrării de registry: Din februarie 2025, limita de caractere de 2.048 de caractere pentru numele de gazdă nu poate fi evitată atunci când utilizați setarea Politică de grup ADMX sau InTune CSP.

    Există o soluție care nu necesită Politică de grup. Puteți utiliza comanda ksetup /addhosttorealmmap , după cum este documentat în ghidul ksetup addhosttorealmmap. Această abordare este limitată doar de dimensiunea generală a stupului de registry pentru limitele de stup și heap SYSTEM.

    De asemenea, puteți utiliza Registry Politică de grup Preferences pentru a distribui mapările gazdă utilizând datele stocate de comanda ksetup /addhosttorealmmap din următoarea subcheie de registry:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\HostToRealm

    Pentru a crea această setare în registry Politică de grup Preferences (Preferințe), utilizați cmdletul PowerShell Set-GPPrefRegistryValue.

Referințe

​​​​​​​​​​​​​​Exonerare de răspundere privind informațiile de la terți

Produsele unor terți prezentate în acest articol sunt fabricate de companii independente de Microsoft. Nu oferim nicio garanție, implicită sau în alt mod, în legătură cu performanța sau fiabilitatea acestor produse.

Oferim informații de contact de la terți pentru a vă ajuta să găsiți asistență tehnică. Aceste informații de contact se pot modifica fără notificare prealabilă. Nu garantăm acuratețea acestor informații de contact de la terți.

Facebook LinkedIn E-mail
ABONAȚI-VĂ LA FLUXURI RSS

Aveți nevoie de ajutor suplimentar?

Doriți mai multe opțiuni?

Explorați avantajele abonamentului, navigați prin cursurile de instruire, aflați cum să vă securizați dispozitivul și multe altele.

Beneficiile abonamentului Microsoft 365

Instruire Microsoft 365

Securitate Microsoft

Centru de accesibilitate