应用对象
Windows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Local, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 DO_NOT_USE_Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2025

原始发布日期: 2025 年 2 月 20 日

KB ID:5054215

更改日期

更改说明

2025 年 3 月 4 日

  • 阐明了“解决字符串长度限制的指导”部分中的措辞。

简介

Kerberos 中的主机到领域策略用于将主机 ((例如客户端计算机或服务器) )映射到特定的 Kerberos 领域。 有关详细信息,请参阅 策略 CSP - ADMX_Kerberos

本文介绍 Kerberos 的主机到领域策略中的字符串长度限制、这些限制适用的方案,并提供有关如何克服这些限制的指导。

字符串长度限制是什么?

  • 用户界面 (UI) 主机名的字符限制: 用于输入数据的组策略 编辑器控件不会将超过 1,024 个字符加载到领域主机文件列表条目中。 但是,最多可以键入 32,767 个字符,并成功将这些字符写入 registry.pol

  • 主机名的字符限制: 在应用策略的设备上读取此设置的 Kerberos 客户端对主机名列表的硬限制为 2,048 个字符。

这些限制在哪些情况下适用?

字符串长度限制适用于以下情况:

  • 你有一个Active Directory 域和第三方领域,例如具有 MIT 信任的 FreeBSD 或 Linux。

  • 你支持多个 SPN 后缀或手动映射到信任 AD 林的领域的主机列表。

在域组策略中设置主机到领域映射策略时,可以定义以下字段:

  • 策略名称: 定义主机名到 Kerberos 领域映射,

  • 注册表子项: domain_realm。

检索其中一个主机的票证可能会失败,因为超过主机字符串的一定长度,组策略 编辑器不显示主机列表。 相反,“值名称”和“值”字段为空。

解决字符串长度限制的指南

  • UI 限制: 若要避免在 ADMX 组策略 编辑器中输入长字符串时出现问题,可以创建包含主机名列表的单独文本文件。 更新主机列表时,需要相应地修改此文本文件。 之后,可以打开策略并将更新的字符串粘贴到相关领域映射的编辑控件中。还可以使用脚本文件中的 Set-GPRegistryValue PowerShell cmdlet。 它还允许将一个长字符串作为参数传递,以将其添加到组策略。

  • 注册表项主机名长度限制: 自 2025 年 2 月起,使用 ADMX 组策略 或 InTune CSP 设置时,无法避免主机名的字符限制为 2,048 个字符。

    有一种不需要组策略的解决方法。 可以使用 ksetup /addhosttorealmmap 命令,如 ksetup addhosttorealmmap 指南中所述。 此方法仅受系统配置单元和堆限制的常规注册表配置单元大小的限制。

    还可以使用注册表组策略首选项通过以下注册表子项中的 ksetup /addhosttorealmmap 命令存储的数据来分发主机映射:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\HostToRealm

    若要在注册表组策略首选项中创建此设置,请使用 PowerShell cmdlet Set-GPPrefRegistryValue

参考

​​​​​​​​​​​​​​第三方信息免责声明

本文中提到的第三方产品由 Microsoft 以外的其他公司提供。 对于这些产品的性能或可靠性,我们不作任何暗示保证或其他形式的保证

我们提供了第三方联系信息,以便你寻求技术支持。 该联系信息如有更改,恕不另行通知。 我们不保证此第三方联系信息的准确性。

订阅 RSS 源

需要更多帮助?

需要更多选项?

了解订阅权益、浏览培训课程、了解如何保护设备等。

Microsoft 365 订阅权益

Microsoft 365 培训

Microsoft 安全性

辅助功能中心