Applies To
Windows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Local, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 DO_NOT_USE_Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2025

原始發佈日期: 2025年2月20日

KB 識別碼:5054215

變更日期

變更描述

2025年3月4日

  • 釐清了一節中的措辭。

簡介

Kerberos 中的主機對領域原則是用來將主機 (,例如用戶端電腦或伺服器) 對應到特定 Kerberos 領域。 如需詳細資訊,請參閱 原則雲端解決方案提供者 - ADMX_Kerberos

本文將說明 Kerberos 主機對領域原則中的字串長度限制、適用限制的案例,並提供如何克服限制的指導方針。

字串長度限制為何?

  • 使用者介面 (主機名的 UI) 字元限制: 用來輸入數據的 群組原則 編輯器 控件不會在領域主機檔案清單專案中載入超過 1,024 個字元。 不過,您最多可以輸入 32,767 個字元,並成功將這些字元寫入 registry.pol

  • 主機名稱的字元限制: 在套用原則的裝置上讀取此設定的 Kerberos 用戶端,主機名清單的硬性限制為 2,048 個字元。

在哪些案例中,限制會套用?

字串長度限制適用於下列案例:

  • 您擁有 Active Directory 網域 和第三方領域,例如FreeBSD或Linux,且擁有MIT信任。

  • 您支援多個SPN後綴,或手動對應到信任AD森林之領域之主機清單。

在網域 群組原則 中設定主機到領域對應原則時,可以定義下列欄位:

  • 原則名稱: 定義主機名到 Kerberos 領域對應,

  • 登錄子機碼: domain_realm。

擷取這些主機之一的票證可能會失敗,因為超過主機字串的特定長度,群組原則 編輯器 不會顯示主機清單。 相反地,“value name” 和 “value” 字段是空白的。

解決字串長度限制的指導方針

  • UI 限制: 為了避免在 ADMX 群組原則 編輯器 中輸入長字串時發生問題,您可以建立一個包含主機名清單的個別文本檔。 更新主機清單時,您必須據此修改此文字檔。 之後,您可以開啟原則,並將更新的字串貼到相關領域對應的編輯控件。您也可以從腳本檔案中使用 Set-GPRegistryValue PowerShell Cmdlet。 它也允許將長字串當做參數傳遞,將它新增至 群組原則。

  • 登入專案主機名稱長度限制: 自 2025 年 2 月起,當您使用 ADMX 群組原則 或 InTune CSP 設定時,無法避免主機名的字元限制為 2,048 個字元。

    有一個不需要 群組原則的因應措施。 您可以使用 ksetup /addhosttorealmmap 命令,如 ksetup addhosttorealmmap 指南中所述。 此方法僅受限於一般登錄的系統病毒和堆的限制。

    您也可以使用登錄 群組原則 喜好設定,使用下列登錄子機碼中 ksetup /addhosttorealmmap 命令所儲存的數據來發佈主機對應:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\HostToRealm

    若要在登錄 群組原則 喜好設定中建立此設定,請使用PowerShell Cmdlet Set-GPPrefRegistryValue

參考

​​​​​​​​​​​​​​協力廠商資訊免責聲明

本文提及的協力廠商產品是由與 Microsoft 無關的獨立廠商所製造。 Microsoft 不以默示或其他方式,提供與這些產品的效能或可靠性有關的擔保。

我們提供協力廠商的連絡資訊,協助您尋找技術支援。 此連絡資訊如有變更,恕不另行通知。 我們不保證此協力廠商連絡資訊的正確性。

Facebook LinkedIn Email
SUBSCRIBE RSS FEEDS

Need more help?

Want more options?

探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。

Microsoft 365 訂閱權益

Microsoft 365 訓練

Microsoft 安全性

協助工具中心