使用樹系搜尋順序

這個原則設定會定義金鑰發佈中心 (KDC) 嘗試解析兩部分服務主要名稱 (SPN) 時所搜尋的信任的樹系清單。

如果您啟用這個原則設定,若 KDC 無法在本機樹系中解析兩部分 SPN,便會在此清單中搜尋樹系。樹系搜尋是使用通用類別目錄或名稱尾碼提示執行。如果找到符合項目,KDC 便會將轉介票證傳回適當網域的用戶端。

如果您停用或未設定這個原則設定,KDC 將不會搜尋列出的樹系來解析 SPN。如果 KDC 因為找不到名稱而無法解析 SPN,就可能會使用 NTLM 驗證。

為確保一致的行為,網域中的所有網域控制站都必須支援這個原則設定,並以相同的方式設定。

支援的作業系統: 至少需要 Windows Server 2008 R2 或 Windows 7

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
Value NameUseForestSearch
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

要搜尋的樹系

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
Value NameForestSearchList
Value TypeREG_SZ
Default Value

語法:

輸入啟用這個原則時要搜尋的樹系清單。

使用完整網域名稱 (FQDN) 命名格式。

以分號 ";" 分隔多個搜尋項目。

詳細資料:

不必列示目前樹系,因為樹系搜尋順序會先使用通用類別目錄,然後再依所列順序搜尋。

您不需要分別列出樹系中的所有網域。

如果列出了信任的樹系,便會搜尋樹系中的所有網域。

為獲得最佳效能,請依可能成功的順序列示樹系。


kdc.admx

系統管理範本 (電腦)

系統管理範本 (使用者)