Vzťahuje sa na
Windows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Local, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 DO_NOT_USE_Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2025

Pôvodný dátum publikovania: 20. februára 2025

IDENTIFIKÁCIA DATABÁZY KB: 5054215

Zmeniť dátum

Zmeniť popis

4. marca 2025

  • Objasnili sme znenie v časti Pokyny na obídenie obmedzení dĺžky reťazca.

Úvod

Politika "host-to-realm" v protokole Kerberos sa používa na priradenie hostiteľa (napríklad klientskeho počítača alebo servera) ku konkrétnej oblasti protokolu Kerberos. Ďalšie informácie nájdete v téme Poskytovateľ úschovy politík – ADMX_Kerberos.

Tento článok popisuje obmedzenia dĺžky reťazca v politike hosť-to-realm pre protokol Kerberos, scenáre, v ktorých sa obmedzenia uplatňujú, a poskytuje návod na prekonanie obmedzení.

Aké sú obmedzenia dĺžky reťazca?

  • Limit počtu znakov používateľského rozhrania pre názvy hostiteľov: Ovládací prvok skupinová politika Editor použitý na zadanie údajov nenačíta viac ako 1 024 znakov do položky zoznamu súborov hostiteľa oblasti. Môžete však zadať maximálne 32 767 znakov a úspešne ich zapísať do súboru registry.pol.

  • Limit počtu znakov pre názvy hostiteľov: Klient protokolu Kerberos číta toto nastavenie v zariadení, v ktorom sa uplatňuje politika, má pevný limit 2 048 znakov pre zoznam názvov hostiteľa.

V akých scenároch platia obmedzenia?

Obmedzenia dĺžky reťazca sa vzťahujú na nasledujúce scenáre:

  • Máte doménu Služby Active Directory a oblasť tretej strany, napríklad FreeBSD alebo Linux s dôverou MIT.

  • Podporujete viaceré prípony hlavného názvu služby alebo zoznam hostiteľov manuálne priradených k oblasti, ktorá dôveruje doménovej štruktúre služby AD.

Pri nastavovaní politiky priradenia hostiteľa k oblasti v skupinová politika Doména je možné definovať nasledujúce polia:

  • Názov politiky: Definujte mapovania oblasti názvu hostiteľa s protokolom Kerberos,

  • Podkľúč databázy Registry: domain_realm.

Načítanie lístka pre jedného z týchto hostiteľov môže byť neúspešné, pretože po určitej dĺžke hostiteľských reťazcov skupinová politika Editor nezobrazuje zoznam hostiteľov. Namiesto toho sú polia "názov hodnoty" a "hodnota" prázdne.

Sprievodný materiál k obídeniu obmedzení dĺžky reťazca

  • Limit používateľského rozhrania: Ak sa chcete vyhnúť problému so zadávaním dlhých reťazcov v skupinová politika Editor ADMX, môžete vytvoriť samostatný textový súbor obsahujúci zoznam názvov hostiteľa. Pri aktualizácii zoznamu hostiteľov budete musieť upraviť tento text súbor zodpovedajúcim spôsobom. Potom môžete otvoriť politiku a prilepiť aktualizovaný reťazec do ovládacieho prvku úprav pre príslušné mapovanie oblasti.Môžete tiež použiť rutinu typu cmdlet Set-GPRegistryValue prostredia PowerShell zo súboru skriptu. Umožňuje tiež odovzdať dlhý reťazec ako parameter a pridať ho do skupinová politika.

  • Limit dĺžky názvu hostiteľa položky databázy Registry: Od februára 2025 sa pri použití nastavenia ADMX skupinová politika alebo CSP služby InTune nedá vyhnúť limit 2 048 znakov pre názvy hostiteľov.

    Existuje alternatívne riešenie, ktoré nevyžaduje skupinová politika. Môžete použiť príkaz ksetup /addhosttorealmmap , ako je to zdokumentované v sprievodcovi ksetup addhosttorealmmap. Tento prístup je obmedzený len všeobecnou veľkosťou úľu databázy Registry pre limity systému úľov a haldy.

    Môžete tiež použiť predvoľby skupinová politika databázy Registry na distribúciu priradení hostiteľa pomocou údajov uložených príkazom ksetup /addhosttorealmmap v nasledujúcom podkľúči databázy Registry:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\HostToRealm

    Ak chcete vytvoriť toto nastavenie v predvoľbách skupinová politika databázy Registry, použite rutinu typu cmdlet Prostredia PowerShell Set-GPPrefRegistryValue.

Referencie

​​​​​​​​​​​​​​Informácie tretích strán – vyhlásenie

Produkty tretích strán uvedené v tomto článku vyrábajú spoločnosti, ktoré sú nezávislé od spoločnosti Microsoft. Neposkytujeme žiadnu záruku, či už vyjadrenú alebo predpokladanú, na výkonnosť alebo spoľahlivosť týchto produktov.

Poskytujeme kontaktné informácie tretích strán, ktoré vám pomôžu nájsť technickej podporu. Tieto kontaktné informácie môžu zmeniť bez predchádzajúceho upozornenia. Nezaručujeme presnosť kontaktných informácií tretej strany.

Facebook LinkedIn E-mail
PRIHLÁSIŤ SA NA ODBER INFORMAČNÝCH KANÁLOV RSS

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Výhody predplatného služby Microsoft 365

Školenie k službe Microsoft 365

Zabezpečenie od spoločnosti Microsoft

Centrum zjednodušenia ovládania