Áp dụng cho
Windows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Local, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 DO_NOT_USE_Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2025

Ngày phát hành ban đầu: Ngày 20 tháng 2 năm 2025

KB ID: 5054215

Thay đổi ngày

Thay đổi mô tả

Ngày 4 tháng 3 năm 2025

  • Làm rõ từ ngữ trong mục "Hướng dẫn khắc phục các giới hạn độ dài chuỗi".

Giới thiệu

Chính sách host-to-realm ở Kerberos được sử dụng để ánh xạ một máy chủ (chẳng hạn như máy tính khách hoặc máy chủ) đến một khu vực Kerberos cụ thể. Để biết thêm thông tin, vui lòng xem CSP Chính sách - ADMX_Kerberos.

Bài viết này mô tả các giới hạn độ dài chuỗi trong chính sách host-to-realm cho Kerberos, các trường hợp mà những hạn chế áp dụng và cung cấp hướng dẫn về cách vượt qua những hạn chế.

Các giới hạn độ dài chuỗi là gì?

  • Giới hạn ký tự Giao diện Người dùng (UI) cho Tên Máy chủ: Điều chính sách nhóm Trình soạn thảo dùng để nhập dữ liệu không tải quá 1.024 ký tự vào mục nhập danh sách tệp máy chủ. Tuy nhiên, bạn có thể nhập tối đa 32.767 ký tự và ghi thành công các ký tự này vào registry.pol.

  • Giới hạn ký tự cho Tên Máy chủ: Máy khách Kerberos đọc cài đặt này trên thiết bị áp dụng chính sách có giới hạn cứng là 2.048 ký tự cho danh sách tên máy chủ.

Trong những kịch bản nào thì các giới hạn sẽ được áp dụng?

Các giới hạn độ dài chuỗi áp dụng trong các trường hợp sau đây:

  • Bạn có Miền Active Directory và một vùng của bên thứ ba như FreeBSD hoặc Linux có tin cậy MIT.

  • Bạn hỗ trợ nhiều hậu tố SPN hoặc danh sách các máy chủ được ánh xạ theo cách thủ công đến vùng tin cậy rừng AD.

Khi đặt chính sách ánh xạ máy chủ thành lĩnh vực trong phạm chính sách nhóm, các trường sau đây có thể được xác định:

  • Tên chính sách: Xác định ánh xạ miền tên máy chủ thành Kerberos,

  • Khóa đăng ký phụ: domain_realm.

Việc lấy phiếu cho một trong các máy chủ này có thể không thành công vì vượt quá một độ dài nhất định của chuỗi máy chủ, chính sách nhóm Trình soạn thảo không hiển thị danh sách các máy chủ. Thay vào đó, các trường "tên giá trị" và "giá trị" sẽ trống.

Hướng dẫn khắc phục các giới hạn độ dài chuỗi

  • Giới hạn giao diện người dùng: Để tránh sự cố khi nhập chuỗi dài trong chính sách nhóm Trình soạn thảo ADMX, bạn có thể tạo một tệp văn bản riêng có chứa danh sách tên máy chủ. Khi cập nhật danh sách các máy chủ, bạn sẽ cần sửa đổi tệp văn bản này cho phù hợp. Sau đó, bạn có thể mở chính sách và dán chuỗi cập nhật vào điều khiển chỉnh sửa cho lập bản đồ vùng có liên quan.Bạn cũng có thể sử dụng lệnh ghép ngắn Set-GPRegistryValue PowerShell từ tệp tập lệnh. Nó cũng cho phép truyền một chuỗi dài vào làm tham số để thêm nó vào chính sách nhóm.

  • Giới hạn độ dài tên máy chủ Mục nhập Đăng ký: Kể từ tháng 2 năm 2025, bạn không thể tránh khỏi giới hạn ký tự là 2.048 ký tự cho tên máy chủ khi sử dụng cài đặt ADMX chính sách nhóm hoặc CSP InTune.

    Có một giải pháp thay thế không yêu cầu quyền chính sách nhóm. Bạn có thể sử dụng lệnh ksetup /addhosttorealmmap , như được ghi trong hướng dẫn addhosttorealmmap ksetup. Cách tiếp cận này được giới hạn chỉ bởi kích thước trung tâm đăng ký chung cho các giới hạn hệ thống tổ tổ và đống.

    Bạn cũng có thể sử dụng Registry chính sách nhóm Preferences để phân phối ánh xạ máy chủ bằng cách sử dụng dữ liệu được lưu trữ bởi lệnh ksetup /addhosttorealmmap trong khóa phụ sau của sổ đăng ký:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\HostToRealm

    Để tạo cài đặt này trong Tùy chọn chính sách nhóm đăng ký, vui lòng sử dụng lệnh ghép ngắn PowerShell Set-GPPrefRegistryValue.

Tham khảo

​​​​​​​​​​​​​​Tuyên bố từ chối trách nhiệm thông tin của bên thứ ba

Các sản phẩm của bên thứ ba thảo luận trong bài viết này được sản xuất bởi những công ty độc lập với Microsoft. Chúng tôi không đưa ra sự đảm bảo, dù là ngụ ý hay theo một hình thức khác, về hiệu suất hoặc mức độ tin cậy của những sản phẩm này.

Chúng tôi cung cấp thông tin liên hệ của bên thứ ba để giúp bạn tìm kiếm hỗ trợ kỹ thuật. Thông tin liên hệ này có thể thay đổi mà không cần thông báo. Chúng tôi không đảm bảo tính chính xác của thông tin liên hệ của bên thứ ba này.

Facebook LinkedIn Email
ĐĂNG KÝ NGUỒN CẤP DỮ LIỆU RSS

Bạn cần thêm trợ giúp?

Bạn muốn xem các tùy chọn khác?

Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.

Lợi ích đăng ký Microsoft 365

Nội dung đào tạo về Microsoft 365

Bảo mật Microsoft

Trung tâm trợ năng