Исходная дата публикации: 20 февраля 2025 г.
Идентификатор базы знаний: 5054215
|
Дата изменения |
Описание изменений |
|
4 марта 2025 г. |
|
Введение
Политика подключения узла к области в Kerberos используется для сопоставления узла (например, клиентского компьютера или сервера) с определенной областью Kerberos. Дополнительные сведения см. в разделе Политика CSP — ADMX_Kerberos.
В этой статье описываются ограничения длины строк в политике "узел — область" для Kerberos, сценарии, в которых применяются ограничения, а также приводятся рекомендации по их устранению.
Каковы ограничения на длину строк?
-
Ограничение символов пользовательского интерфейса для имен узлов: Элемент управления групповая политика Редактор, используемый для ввода данных, не загружает более 1024 символов в запись списка файлов узла области. Однако можно ввести до 32 767 символов и успешно записать их в registry.pol.
-
Ограничение символов для имен узлов: Клиент Kerberos, считывающий этот параметр на устройстве, на котором применяется политика, имеет жесткое ограничение в 2048 символов для списка имен узлов.
В каких сценариях применяются ограничения?
Ограничения на длину строк применяются в следующих сценариях:
-
У вас есть домен Active Directory и сторонняя область, например FreeBSD или Linux с доверием MIT.
-
Поддерживается несколько суффиксов имени субъекта-службы или список узлов, сопоставленных вручную с областью, которая доверяет лесу AD.
При настройке политики сопоставления "узел — область" в групповая политика домена можно определить следующие поля:
-
Имя политики: Определение сопоставлений между областями имени узла и Kerberos;
-
Подраздел реестра: domain_realm.
Получение билета для одного из этих узлов может оказаться неудачным, так как за пределами определенной длины строк узла групповая политика Редактор не отображает список узлов. Вместо этого поля "имя значения" и "значение" пусты.
Руководство по обходу ограничений длины строк
-
Ограничение пользовательского интерфейса: Чтобы избежать проблемы с вводом длинных строк в ADMX групповая политика Редактор, можно создать отдельный текстовый файл, содержащий список имен узлов. При обновлении списка узлов необходимо соответствующим образом изменить этот текстовый файл. После этого можно открыть политику и вставить обновленную строку в элемент управления редактирования для сопоставления соответствующей области.Вы также можете использовать командлет PowerShell Set-GPRegistryValue из файла скрипта. Он также позволяет передать длинную строку в качестве параметра, чтобы добавить ее в групповая политика.
-
Ограничение длины имени узла записи реестра: С февраля 2025 г. при использовании параметра ADMX групповая политика или InTune CSP невозможно избежать ограничения в 2048 символов для имен узлов.
Существует обходной путь, который не требует групповая политика. Вы можете использовать команду ksetup /addhosttorealmmap , как описано в руководстве ksetup addhosttorealmmap. Этот подход ограничен только общим размером куста реестра для ограничений куста SYSTEM и кучи.
Вы также можете использовать параметры реестра групповая политика для распространения сопоставлений узлов с помощью данных, хранящихся командой ksetup /addhosttorealmmap в следующем подразделе реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\HostToRealm
Чтобы создать этот параметр в реестре групповая политика Параметры, используйте командлет PowerShell Set-GPPrefRegistryValue.
Ссылки
Заявление об отказе от ответственности за продукцию сторонних производителей
Продукты сторонних разработчиков, рассмотренные в этой статье, выпущены компаниями, независимыми от корпорации Майкрософт. Мы не предоставляем гарантий, подразумеваемых или иных, относительно производительности или надежности этих продуктов.
Мы предоставляем контактные данные третьих лиц, чтобы вы могли получить техническую поддержку. Эти контактные данные могут меняться без уведомления. Мы не гарантируем точность контактных данных третьих лиц.
