Застосовується до
Windows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Local, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 DO_NOT_USE_Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2025

Вихідна дата публікації: 20 лютого 2025 р.

Ідентифікатор KB: 5054215

Змінити дату

Змінити опис

4 березня 2025 р.

  • Роз'яснив формулювання в розділі "Рекомендації щодо обмеження довжини рядка".

Вступ

Політика host-to-realm у Kerberos використовується для зіставлення хоста (наприклад, клієнтського комп'ютера або сервера) з певним царством Kerberos. Докладні відомості див. в статті Політика CSP - ADMX_Kerberos.

У цій статті описано обмеження довжини рядків у політиці host-to-realm для Kerberos, сценарії, у яких застосовуються обмеження, і наведено вказівки з подолання обмежень.

Які обмеження довжини рядка?

  • Обмеження кількості символів інтерфейсу користувача для імен хостів: Елемент керування Групова політика Редактор, який використовується для введення даних, не завантажує більше 1024 символів у запис списку файлів хост-файлу становлення. Проте можна ввести до 32 767 символів і успішно записати їх на registry.pol.

  • Обмеження кількості символів для імен хостів: Клієнт Kerberos читає цей параметр на пристрої, на якому застосовується політика, має обмеження в 2048 символів для списку імен хостів.

У яких сценаріях застосовуються обмеження?

Обмеження довжини рядка застосовуються в таких сценаріях:

  • У вас є домен Active Directory та стороннє царство, наприклад FreeBSD або Linux з довірою MIT.

  • Підтримується кілька суфіксів SPN або список хостів, зіставлених вручну з областю, яка довіряє лісу AD.

Під час налаштування політики зіставлення хост-до-становлення в Групова політика доменів можна визначити такі поля:

  • Ім'я політики: Визначте зіставлення імені хоста в и керберосах,

  • Підрозділ реєстру: domain_realm.

Отримання квитка для одного з цих хостів може виявитися невдалим, оскільки його довжина перевищує певну довжину, Групова політика Редактор не відображає список хостів. Натомість поля "ім'я значення" та "значення" пусті.

Інструкції з вирішення обмежень довжини рядка

  • Обмеження інтерфейсу користувача: Щоб уникнути проблем із введенням довгих рядків у Групова політика Редактор ADMX, можна створити окремий текстовий файл зі списком імен хостів. Під час оновлення списку хостів потрібно буде відповідним чином змінити цей текстовий файл. Після цього ви можете відкрити політику та вставити оновлений рядок в елемент керування редагуванням для відповідного зіставлення царства.Командлет PowerShell Set-GPRegistryValue також можна використовувати з файлу сценарію. Це також дає змогу передавати довгий рядок як параметр, щоб додати його до Групова політика.

  • Обмеження довжини імені хоста запису реєстру: Станом на лютий 2025 року не можна уникнути обмеження кількості символів 2048 символів для імен хостів під час використання параметра ADMX Групова політика або InTune CSP.

    Існує спосіб вирішення, який не вимагає Групова політика. Ви можете скористатися командою ksetup /addhosttorealmmap , як описано в посібнику з надбудови ksetup addhosttorealmmap. Такий підхід обмежений лише загальним реєстром розміру вулика для системного вулика і граничних пам'яток купи.

    За допомогою Групова політика параметрів реєстру можна розподілити зіставлення хостів за допомогою даних, збережених командою ksetup /addhosttorealmmap у підрозділі реєстру:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\HostToRealm

    Щоб створити цей параметр у реєстрі Групова політика Preferences, скористайтеся командлетом PowerShell Set-GPPrefRegistryValue.

Посилання

​​​​​​​​​​​​​​Застереження щодо інформації третіх осіб

Продукти сторонніх виробників, згадані в цій статті, виготовлено незалежними від корпорації Майкрософт компаніями. Ми не надаємо жодних гарантій (непрямих та інших) щодо продуктивності або надійності цих продуктів.

Ми надаємо контактну інформацію сторонніх виробників, щоб допомогти вам отримати технічну підтримку. Ці відомості можуть змінюватися без попередження. Ми не гарантуємо точність наданої контактної інформації сторонніх виробників.

Facebook LinkedIn Електронна пошта
ПІДПИСАТИСЯ НА RSS-КАНАЛИ

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.

Переваги передплати на Microsoft 365

Навчальні матеріали з Microsoft 365

Захисний комплекс Microsoft

Центр спеціальних можливостей