Ursprungligt publiceringsdatum: den 20 februari 2025
KB-ID: 5054215
|
Ändra datum |
Ändra beskrivning |
|
den 4 mars 2025 |
|
Inledning
Principen värd till sfär i Kerberos används för att mappa en värd (t.ex. en klientdator eller server) till en viss Kerberos-sfär. Mer information finns i Policy CSP – ADMX_Kerberos.
I den här artikeln beskrivs begränsningar av stränglängder i värd-till-sfär-principen för Kerberos, scenarier där begränsningarna gäller och ger vägledning om hur du övervinner begränsningarna.
Vilka begränsningar gäller för stränglängder?
-
Teckenbegränsning för användargränssnitt (användargränssnitt) för värdnamn: Den grupprincip Editor kontroll som används för att ange data läses inte in mer än 1 024 tecken i fillistposten för sfärvärden. Du kan däremot skriva upp till 32 767 tecken och skriva dessa till registry.pol.
-
Teckenbegränsning för värdnamn: Kerberos-klienten som läser den här inställningen på enheten där principen gäller har en hård gräns på 2 048 tecken för värdnamnslistan.
I vilka scenarier gäller begränsningarna?
Stränglängdsbegränsningarna gäller i följande scenarier:
-
Du har en Active Directory-domän och en tredjepartssfär som FreeBSD eller Linux med ett MIT-förtroende.
-
Du har stöd för flera SPN-suffix eller en lista med värdar som mappas manuellt till den sfär som litar på AD-skogen.
När du anger principen för värd-till-sfär-mappning i grupprincip kan följande fält definieras:
-
Principnamn: Definiera värdens namn till Kerberos-sfärmappningar
-
Registerundernyckel: domain_realm.
Hämtning av en biljett för en av dessa värdar kan misslyckas eftersom mer än en viss längd på värdsträngarna, grupprincip Editor inte visar listan över värdar. I stället är fälten "värdenamn" och "värde" tomma.
Vägledning för att kringgå begränsningar av stränglängder
-
Gränsen för användargränssnittet: För att undvika problemet med att ange långa strängar i ADMX-grupprincip Editor kan du skapa en separat textfil som innehåller värdnamnslistan. När du uppdaterar listan över värdar måste du ändra den här textfilen i enlighet med detta. Därefter kan du öppna principen och klistra in den uppdaterade strängen i redigeringskontrollen för relevant sfärmappning.Du kan också använda PowerShell-cmdleten Set-GPRegistryValue från en skriptfil. Det gör det också möjligt att överföra en lång sträng som parameter för att lägga till den i grupprincip.
-
Längdbegränsningen för registerpostens värdnamn: Från och med februari 2025 går det inte att undvika teckenbegränsningen på 2 048 tecken för värdnamn när du använder CSP-inställningen ADMX grupprincip eller InTune.
Det finns en lösning som inte kräver grupprincip. Du kan använda kommandot ksetup /addhosttorealmmap , som beskrivs i guiden ksetup addhosttorealmmap. Detta tillvägagångssätt begränsas endast av den allmänna registerdatafilens storlek för SYSTEM-hive- och heapgränser.
Du kan också använda Registry grupprincip Preferences för att distribuera värdmappningarna med hjälp av data som lagras av kommandot ksetup /addhosttorealmmap i följande registerundernyckel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\HostToRealm
Om du vill skapa den här inställningen i registret grupprincip Inställningar använder du PowerShell-cmdleten Set-GPPrefRegistryValue.
Referenser
Ansvarsfriskrivning från tredje part
Produkter från andra leverantörer som nämns i den här artikeln tillverkas av företag som inte har någon anknytning till Microsoft. Vi lämnar ingen garanti, underförstådd eller på annat sätt, om dessa produkters prestanda eller tillförlitlighet.
Vi tillhandahåller kontaktinformation från tredje part som hjälper dig att hitta teknisk support. Denna kontaktinformation kan ändras utan föregående meddelande. Vi kan inte garantera att den här kontaktinformationen från tredje part är korrekt.