ขอบเขต Kerberos เพื่อโฮสต์ข้อจํากัดความยาวสตริงของนโยบายการแมป

บทนำ

นโยบายโฮสต์ไปยังขอบเขตใน Kerberos จะใช้เพื่อแมปโฮสต์ (เช่นคอมพิวเตอร์ไคลเอ็นต์หรือเซิร์ฟเวอร์) กับขอบเขต Kerberos เฉพาะ สําหรับข้อมูลเพิ่มเติม โปรดดูนโยบาย CSP - ADMX_Kerberos

บทความนี้จะอธิบายข้อจํากัดของความยาวสตริงในนโยบาย host-to-realm สําหรับ Kerberos สถานการณ์ที่มีการนําข้อจํากัดไปใช้ และให้คําแนะนําเกี่ยวกับวิธีการเอาชนะข้อจํากัด

ข้อจํากัดความยาวสตริงคืออะไร

• ขีดจํากัดอักขระของส่วนติดต่อผู้ใช้ (UI) สําหรับชื่อโฮสต์: ตัวควบคุมนโยบายกลุ่ม ตัวแก้ไขที่ใช้เพื่อป้อนข้อมูลไม่โหลดอักขระมากกว่า 1,024 ตัวลงในรายการไฟล์โฮสต์ realm อย่างไรก็ตาม คุณสามารถพิมพ์ได้สูงสุด 32,767 อักขระ และเขียนไปยัง registry.pol ได้สําเร็จ

• ขีดจํากัดอักขระสําหรับชื่อโฮสต์: ไคลเอ็นต์ Kerberos ที่อ่านการตั้งค่านี้บนอุปกรณ์ที่นโยบายนําไปใช้มีขีดจํากัดของอักขระ 2,048 ตัวสําหรับรายการชื่อโฮสต์

ข้อจํากัดมีผลกับสถานการณ์ใดบ้าง

ข้อจํากัดความยาวสตริงนําไปใช้ในสถานการณ์ต่อไปนี้:

• คุณมีโดเมน Active Directory และขอบเขตของบริษัทอื่น เช่น FreeBSD หรือ Linux ที่มีการเชื่อถือ MIT

• คุณสนับสนุนคําต่อท้าย SPN หลายรายการหรือรายการของโฮสต์ที่แมปกับขอบเขตที่เชื่อถือฟอเรสต์ AD ด้วยตนเอง

เมื่อตั้งค่านโยบายการแมป host-to-realm ในนโยบายกลุ่มโดเมน สามารถกําหนดเขตข้อมูลต่อไปนี้:

• ชื่อนโยบาย: กําหนดการแมปขอบเขตชื่อโฮสต์ไปยัง Kerberos

• คีย์ย่อยรีจิสทรี: domain_realm

การเรียกคืนตั๋วสําหรับหนึ่งในโฮสต์เหล่านี้อาจไม่สําเร็จเนื่องจากเกินความยาวของสตริงโฮสต์นโยบายกลุ่ม ตัวแก้ไขจะไม่แสดงรายการโฮสต์ เขตข้อมูล "value name" และ "value" จะว่างเปล่าแทน

คําแนะนําเพื่อแก้ไขปัญหาข้อจํากัดความยาวสตริง

• ขีดจํากัด UI: เพื่อหลีกเลี่ยงปัญหาในการใส่สตริงที่ยาวในนโยบายกลุ่ม ตัวแก้ไข ADMX คุณสามารถสร้างไฟล์ข้อความแยกต่างหากที่มีรายการชื่อโฮสต์ เมื่ออัปเดตรายการโฮสต์ คุณจะต้องแก้ไขไฟล์ข้อความนี้ให้สอดคล้องกัน หลังจากนั้น คุณสามารถเปิดนโยบายและวางสตริงที่อัปเดตลงในตัวควบคุมการแก้ไขสําหรับการแมปขอบเขตที่เกี่ยวข้อง
  
  คุณยังสามารถใช้ cmdlet Set-GPRegistryValue PowerShell จากไฟล์สคริปต์ได้ นอกจากนี้ยังช่วยให้การส่งผ่านสตริงยาวเป็นพารามิเตอร์เพื่อเพิ่มลงในนโยบายกลุ่ม

• ขีดจํากัดความยาวของชื่อโฮสต์รายการรีจิสทรี: ตั้งแต่เดือนกุมภาพันธ์ 2025 อักขระสําหรับชื่อโฮสต์ไม่สามารถหลีกเลี่ยงได้สูงสุด 2,048 อักขระเมื่อคุณใช้การตั้งค่า ADMX นโยบายกลุ่ม หรือ InTune CSP

  มีวิธีแก้ไขปัญหาที่ไม่จําเป็นต้องมีนโยบายกลุ่ม คุณสามารถใช้คําสั่ง ksetup /addhosttorealmmap ตามที่ระบุไว้ในคู่มือ ksetup addhosttorealmmap วิธีนี้จะถูกจํากัดโดยขนาดกลุ่มรีจิสทรีทั่วไปสําหรับกลุ่ม SYSTEM และขีดจํากัดฮีปเท่านั้น

  คุณยังสามารถใช้ Registry นโยบายกลุ่ม Preferences เพื่อกระจายการแมปโฮสต์โดยใช้ข้อมูลที่จัดเก็บโดยคําสั่ง ksetup /addhosttorealmmap ในซับคีย์รีจิสทรีต่อไปนี้:

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\HostToRealm

  เมื่อต้องการสร้างการตั้งค่านี้ในการกําหนดลักษณะนโยบายกลุ่มรีจิสทรี โปรดใช้ PowerShell cmdlet Set-GPPrefRegistryValue

แหล่งอ้างอิง

​​​​​​​​​​​​​​การปฏิเสธความรับผิดชอบข้อมูลของบริษัทอื่น

ผลิตภัณฑ์ของบริษัทอื่นที่บทความนี้กล่าวถึงผลิตขึ้นโดยบริษัทที่ไม่ได้ขึ้นอยู่กับ Microsoft เราไม่รับประกันทั้งโดยนัยหรือโดยลักษณะอื่นเกี่ยวกับประสิทธิภาพหรือความน่าเชื่อถือของผลิตภัณฑ์ดังกล่าว

เราให้ข้อมูลติดต่อของบริษัทภายนอกเพื่อช่วยให้คุณค้นหาการสนับสนุนทางเทคนิค ข้อมูลที่ติดต่อนี้อาจเปลี่ยนแปลงได้โดยไม่ต้องแจ้งให้ทราบล่วงหน้า เราไม่รับประกันความถูกต้องของข้อมูลที่ติดต่อของบริษัทภายนอกนี้