Gäller för
Windows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Local, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 DO_NOT_USE_Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2025

Ursprungligt publiceringsdatum: den 20 februari 2025

KB-ID: 5054215

Ändra datum

Ändra beskrivning

den 4 mars 2025

  • Förtydligade formuleringen i avsnittet "Vägledning för att kringgå stränglängdsbegränsningarna".

Inledning

Principen värd till sfär i Kerberos används för att mappa en värd (t.ex. en klientdator eller server) till en viss Kerberos-sfär. Mer information finns i Policy CSP – ADMX_Kerberos.

I den här artikeln beskrivs begränsningar av stränglängder i värd-till-sfär-principen för Kerberos, scenarier där begränsningarna gäller och ger vägledning om hur du övervinner begränsningarna.

Vilka begränsningar gäller för stränglängder?

  • Teckenbegränsning för användargränssnitt (användargränssnitt) för värdnamn: Den grupprincip Editor kontroll som används för att ange data läses inte in mer än 1 024 tecken i fillistposten för sfärvärden. Du kan däremot skriva upp till 32 767 tecken och skriva dessa till registry.pol.

  • Teckenbegränsning för värdnamn: Kerberos-klienten som läser den här inställningen på enheten där principen gäller har en hård gräns på 2 048 tecken för värdnamnslistan.

I vilka scenarier gäller begränsningarna?

Stränglängdsbegränsningarna gäller i följande scenarier:

  • Du har en Active Directory-domän och en tredjepartssfär som FreeBSD eller Linux med ett MIT-förtroende.

  • Du har stöd för flera SPN-suffix eller en lista med värdar som mappas manuellt till den sfär som litar på AD-skogen.

När du anger principen för värd-till-sfär-mappning i grupprincip kan följande fält definieras:

  • Principnamn: Definiera värdens namn till Kerberos-sfärmappningar

  • Registerundernyckel: domain_realm.

Hämtning av en biljett för en av dessa värdar kan misslyckas eftersom mer än en viss längd på värdsträngarna, grupprincip Editor inte visar listan över värdar. I stället är fälten "värdenamn" och "värde" tomma.

Vägledning för att kringgå begränsningar av stränglängder

  • Gränsen för användargränssnittet: För att undvika problemet med att ange långa strängar i ADMX-grupprincip Editor kan du skapa en separat textfil som innehåller värdnamnslistan. När du uppdaterar listan över värdar måste du ändra den här textfilen i enlighet med detta. Därefter kan du öppna principen och klistra in den uppdaterade strängen i redigeringskontrollen för relevant sfärmappning.Du kan också använda PowerShell-cmdleten Set-GPRegistryValue från en skriptfil. Det gör det också möjligt att överföra en lång sträng som parameter för att lägga till den i grupprincip.

  • Längdbegränsningen för registerpostens värdnamn: Från och med februari 2025 går det inte att undvika teckenbegränsningen på 2 048 tecken för värdnamn när du använder CSP-inställningen ADMX grupprincip eller InTune.

    Det finns en lösning som inte kräver grupprincip. Du kan använda kommandot ksetup /addhosttorealmmap , som beskrivs i guiden ksetup addhosttorealmmap. Detta tillvägagångssätt begränsas endast av den allmänna registerdatafilens storlek för SYSTEM-hive- och heapgränser.

    Du kan också använda Registry grupprincip Preferences för att distribuera värdmappningarna med hjälp av data som lagras av kommandot ksetup /addhosttorealmmap i följande registerundernyckel:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\HostToRealm

    Om du vill skapa den här inställningen i registret grupprincip Inställningar använder du PowerShell-cmdleten Set-GPPrefRegistryValue.

Referenser

​​​​​​​​​​​​​​Ansvarsfriskrivning från tredje part

Produkter från andra leverantörer som nämns i den här artikeln tillverkas av företag som inte har någon anknytning till Microsoft. Vi lämnar ingen garanti, underförstådd eller på annat sätt, om dessa produkters prestanda eller tillförlitlighet.

Vi tillhandahåller kontaktinformation från tredje part som hjälper dig att hitta teknisk support. Denna kontaktinformation kan ändras utan föregående meddelande. Vi kan inte garantera att den här kontaktinformationen från tredje part är korrekt.

Facebook LinkedIn E-post
PRENUMERERA PÅ RSS-FEEDS

Behöver du mer hjälp?

Vill du ha fler alternativ?

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Fördelar med en Microsoft 365-prenumeration

Utbildning för Microsoft 365

Microsoft-säkerhet

Hjälpmedelscenter