Kerberos フォレスト検索順序が外部信頼で機能しない可能性があり、イベント ID 17 が返される

この記事では、Kerberos フォレスト検索順序 (KFSO) が外部信頼で機能しない状況について説明します。

適用対象: Windows Server 2008 R2 Service Pack 1、Windows 7 Service Pack 1
元の KB 番号: 2977475

現象

Windows Server 2008 R2 以降のバージョンの Windows Server では、次のグループ ポリシー設定を使用して KFSO を構成できます。

コンピューターの構成 \ 管理用テンプレート \ システム \ Kerberos \ フォレスト検索順序を使用する

コンピューターの構成 \ 管理用テンプレート \ システム \ Kdc \ フォレスト検索順序を使用する

これらの設定を構成すると、Kerberos 認証は単一ドメイン フォレスト環境の外部信頼で機能する場合があります。 ただし、指定したフォレストに複数のドメインが含まれている場合は失敗する可能性があります。

このような場合、InitializeSecurityContext は "SEC_E_TARGET_UNKNOWN" を返す可能性があります。さらに、次のイベントがログに記録される場合があります。

原因

KFSO 機能は、外部信頼に対する Kerberos 認証のサポートを提供する代わりに、フォレスト信頼環境で短い名前 (ホスト名) サービス プリンシパル名 (SPN) の解決を許可する便利な機能を提供します。

Kerberos 認証が必要な場合は、フォレストの信頼が必要です。 外部信頼では、FQDN サーバー名と 3 部構成の SPN を使用するようにアプリケーションを変更する必要があります。 詳細については、「 複数のフォレストをフェデレーションするためのテクノロジ」を参照してください。

FQDN 名を使用すると、フォレスト信頼オブジェクトは、キー配布センター (KDC) が Kerberos 紹介手順の次ホップを認識できるように、要求で提供される UPN/SPN サフィックスに従って SPN ルーティングを提供できます。

詳細

KFSO が構成されている外部信頼環境では、KDC または Kerberos クライアントは、指定されたサフィックスを検索に追加し、要求された SPN を解決するためにターゲット フォレストに対して DsCrackNames 要求を発行します。 ただし、DsCrackNames 要求は、ターゲット フォレスト内のグローバル カタログへの接続を試みる場合があります。 要求が直接信頼されたドメイン内のドメイン コントローラーに接続すると、Kerberos 認証が成功する可能性があります。 要求が別のドメインのドメイン コントローラーに接続すると、Kerberos 認証が失敗する可能性があります。

KFSO は外部信頼に対して Kerberos 認証のサポートを提供するように設計されていないため、この動作が予想されます。 フォレスト間で Kerberos 信頼を使用するには、代わりにフォレスト信頼を作成します。