Mit dieser Richtlinieneinstellung wird die Liste vertrauender Gesamtstrukturen festgelegt, die beim Versuch des Auflösens von zweiteiligen Dienstprinzipalnamen (Service Principal Names, SPNs) des Schlüsselverteilungscenters (Key Distribution Center, KDC) durchsucht werden.
Wenn Sie diese Richtlinieneinstellung aktivieren, durchsucht das KDC die Gesamtstrukturen in dieser Liste, wenn ein zweiteiliger SPN in der lokalen Gesamtstruktur nicht aufgelöst werden kann. Die Gesamtstruktur wird mithilfe eines globalen Katalogs oder mithilfe von Namensuffixhinweisen durchsucht. Wenn eine Übereinstimmung gefunden wird, gibt das KDC ein Referenzticket an den Client für die entsprechende Domäne zurück.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, durchsucht das KDC zum Auflösen des SPN die aufgeführten Gesamtstrukturen nicht. Wenn das KDC den SPN nicht auflösen kann, da der Name nicht gefunden wird, wird möglicherweise die NTLM-Authentifizierung verwendet.
Um konsistentes Verhalten sicherzustellen, muss diese Richtlinieneinstellung von allen Domänencontrollern in der Domäne unterstützt werden und auf denselben Wert festgelegt sein.
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
Value Name | UseForestSearch |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
Value Name | ForestSearchList |
Value Type | REG_SZ |
Default Value |
Syntax:
Geben Sie die Liste der Gesamtstrukturen ein, die bei aktivierter Richtlinie durchsucht werden sollen.
Verwenden Sie das Namensformat für vollqualifizierte Domänennamen (Fully Qualified Domain Name, FQDN).
Trennen Sie mehrere Sucheinträge durch ein Semikolon (";").
Details:
Die aktuelle Gesamtstruktur muss nicht aufgelistet werden, da die Gesamtstruktur-Suchreihenfolge zunächst den globalen Katalog verwendet und dann in der aufgelisteten Reihenfolge sucht.
Sie müssen nicht alle Domänen in der Gesamtstruktur separat auflisten.
Wenn eine vertrauende Gesamtstruktur aufgeführt ist, werden alle Domänen in der Gesamtstruktur durchsucht.
Um eine optimale Leistung zu erzielen, führen Sie die Gesamtstrukturen nach der höchsten Wahrscheinlichkeit für eine erfolgreiche Suche auf.