Mit dieser Richtlinieneinstellung wird die Liste vertrauender Gesamtstrukturen definiert, die der Kerberos-Client beim Versuch, zweiteilige Dienstprinzipalnamen aufzulösen, durchsucht.
Wenn Sie diese Richtlinieneinstellung aktivieren, durchsucht der Kerberos-Client die Gesamtstrukturen in dieser Liste, wenn er einen zweiteiligen Dienstprinzipalnamen nicht auflösen kann. Wenn eine Übereinstimmung gefunden wird, fordert der Kerberos-Client ein Verweisticket zur geeigneten Domäne an.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden die aufgelisteten Gesamtstrukturen vom Kerberos-Clients nicht zur Auflösung des Dienstprinzipalnamens durchsucht. Wenn der Kerberos-Client den Dienstprinzipalnamen nicht auflösen kann, da er nicht gefunden wird, kann die NTLM-Authentifizierung verwendet werden.
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
Value Name | UseForestSearch |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
Value Name | ForestSearchList |
Value Type | REG_SZ |
Default Value |
Syntax:
Geben Sie die Liste der Gesamtstrukturen ein, die bei aktivierter Richtlinie durchsucht werden sollen.
Verwenden Sie das Namensformat für vollqualifizierte Domänennamen (Fully Qualified Domain Name, FQDN).
Trennen Sie mehrere Sucheinträge durch ein Semikolon (";").
Details:
Die aktuelle Gesamtstruktur muss nicht aufgelistet werden, da die Gesamtstruktur-Suchreihenfolge zunächst den globalen Katalog verwendet und dann in der aufgelisteten Reihenfolge sucht.
Sie müssen nicht alle Domänen in der Gesamtstruktur separat auflisten.
Wenn eine vertrauende Gesamtstruktur aufgeführt ist, werden alle Domänen in der Gesamtstruktur durchsucht.
Um eine optimale Leistung zu erzielen, führen Sie die Gesamtstrukturen nach der höchsten Wahrscheinlichkeit für eine erfolgreiche Suche auf.