此策略设置根据域的 DNS 后缀名为这些域配置指向 KDC 代理服务器的 Kerberos 客户端映射。
如果启用此策略设置,则当根据配置的映射找不到域控制器时,Kerberos 客户端将对域使用 KDC 代理服务器。若要将 KDC 代理服务器映射到某个域,请启用此策略设置,单击"显示",然后使用选项窗格中所述的语法将 KDC 代理服务器名称映射到该域的 DNS 名称。在"显示内容"对话框的"值名称"列中键入 DNS 后缀名。在"值"列中,使用正确的语法格式键入代理服务器列表。若要查看映射列表,请启用策略设置,然后单击"显示"按钮。若要从列表中删除映射,请单击要删除的映射条目,然后按 Delete 键。若要编辑映射,请从列表中删除当前条目,然后添加一个带有其他参数的新映射。
如果禁用或未配置此策略设置,则 Kerberos 客户端不会具有由组策略定义的 KDC 代理服务器设置。
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos |
Value Name | KdcProxyServer_Enabled |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\KdcProxy\ProxyServers |
Value Name | {number} |
Value Type | REG_SZ |
Default Value |
语法:
输入 DNS 后缀名作为"值名称"。
DNS 后缀可以使用以下三种格式(优先级依次降低):
完全匹配: host.contoso.com
后缀匹配: .contoso.com
默认匹配: *
输入代理服务器名称作为"值"。
代理服务器名称必须用标记 <https /> 括起来。
若要添加多个代理服务器名称,请使用空格或逗号","分隔条目
示例:
值名称: .contoso.com
值: <https proxy1.contoso.com proxy2.contoso.com />
其他示例:
值名称: *
值: <https proxy.contoso.com />