ينطبق على
Windows Server 2022 Windows Server 2019 Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Windows Server 2008 Service Pack 2

تغيير التاريخ

تغيير الوصف

3 فبراير 2026

  • في قسم "الأسئلة المتداولة"، صحح إجابة السؤال 1.من: تسجيل SPN المطلوب كمسؤول.ل: سجل SPN المطلوب كمسؤول Active Directory Enterprise.

الملخص

تضيف تحديثات Windows ل CVE-2021-42282 التي تم إصدارها في 9 نوفمبر 2021 عمليات التحقق التالية للسمات في Active Directory (AD):

  • اسم المستخدم الأساسي (UPN) وتفرد اسم الخدمة الأساسي (SPN) (جديد على Windows 8، Windows Server 2012، والإصدارات السابقة) 

  • تفرد الاسم المستعار ل SPN (جديد لجميع إصدارات Windows) 

اسم المستخدم الأساسي وتفرد اسم كيان الخدمة

تضمن هذه الميزة أن SPNs فريدة في مجموعة تفرعات، مما يمنع أجهزة الكمبيوتر ووحدات التحكم بالمجال من إضافة SPNs مكررة. هذه الوظيفة موجودة بالفعل في Windows 8.1 وما فوق ويتم وصفها في تفرد SPN و UPN.

تفرد الاسم المستعار ل SPN

تحدد سمة AD الموجودة الأسماء المستعارة للعديد من فئات الخدمة الشائعة إلى SPN المضيف المكافئ لخدمات مثل CIFS وHTTP وRPC. يتم تعريف سمة AD على أنها قائمة في سياق تسمية التكوين لغابة Active Directory. قد لا يقوم المستخدم الذي ليس لديه حقوق مسؤول بإعادة تعيين SPN تم تعيينه ضمنيا إلى حساب مختلف باستخدام هذا الاسم المستعار.

‏ملاحظة يتم تنفيذ هذا التحقق بالإضافة إلى التحقق من تفرد UPN وSPN.

يتم تشغيل عمليات التحقق من تفرد اسم SPN المستعار بشكل افتراضي. يمكنك إيقاف تشغيل عمليات التحقق هذه عن طريق تعديل الحرف 21st للسمة dSHeuristics ، والتي يتم تفسيرها على أنها سلسلة من الأحرف. السمة dSHeuristics غير موجودة بشكل افتراضي، ولكن يمكنك إضافتها تحت الاسم المميز "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". الإعدادات المحتملة وقيم البت المقابلة لها هي كما يلي:

  • القيمة 0 – تعني فرض الكل (بدون مجموعة بت 000) الافتراضي

  • القيمة 1 – تعني تعطيل التحقق من تفرد UPN (مجموعة بت 0 - 001)

  • القيمة 2 – تعني تعطيل التحقق من تفرد SPN (مجموعة بت 1 - 010)

  • القيمة 3 – تعني تعطيل تفرد UPN والتحقق من تفرد SPN. (مجموعة بت 0 و1 - 011)

  • القيمة 4 – تعني تعطيل التحقق من تفرد اسم SPN المستعار (مجموعة بت 2 - 100)

  • القيمة 5 – تعني تعطيل الاسم المستعار SPN والتحقق من تفرد UPN (مجموعة بت 2 و بت 0 - 101)

  • القيمة 6 - تعني تعطيل اسم SPN المستعار وتفرد SPN (مجموعة بت 2 وبت 1 - 110)

  • القيمة 7 – تعني تعطيل الكل (مجموعة جميع البتات 111)

المثال: إذا لم يكن لديك إعدادات dSHeuristics أخرى ممكنة في الغابة الخاصة بك وتريد فقط تعطيل التحقق من تفرد اسم SPN المستعار، يجب تعيين السمة dSHeuristics إلى: "000000000100000000024" الأحرف التي تم تعيينها في هذه الحالة هي: حرف10: يجب تعيين إلى 1 إذا كانت السمة dSHeuristics 10 أحرف على الأقل حرف20: يجب تعيين إلى 2 إذا كانت السمة dSHeuristics 20 حرفا على الأقل 21st char: يجب تعيين إلى قيمة في القائمة أعلاه؛ تعني القيمة 4 تعطيل تفرد اسم SPN المستعار.

‏ملاحظة إذا تم تعيين السمة dSHeuristics بالفعل، فتأكد من دمج الإعدادات الموجودة في سلسلة سمة dSHeuristics الجديدة وتأكد من تعيين الأحرف 10 و20 و21 كما هو موضح أعلاه. يجب أن تظل الأحرف الأخرى التي تم تعيينها بالفعل دون تغيير.

لمزيد من المعلومات حول تكوين أحرف dSHeuristics، يرجى الرجوع إلى المستندات التالية:

مزيد من المعلومات

ما هو الاسم الأساسي للخدمة؟

الاسم الأساسي للخدمة (SPN) هو معرف فريد لمثيل الخدمة. تستخدم مصادقة Kerberos SPNs لإقران مثيل خدمة بحساب تسجيل دخول الخدمة. يسمح هذا لتطبيق العميل بطلب مصادقة الخدمة لحساب حتى إذا لم يكن لدى العميل اسم الحساب. يرجى الاطلاع على أسماء كيان الخدمة لمزيد من التفاصيل.

ما هو اسم المستخدم الأساسي؟

اسم المستخدم الأساسي (UPN) هو اسم تسجيل دخول على نمط البريد الإلكتروني لمستخدم استنادا إلى RFC 822 القياسي على الإنترنت. لمزيد من التفاصيل، يرجى الاطلاع على سمة User-Principal-Name.

الأسئلة المتداولة

س1 ماذا لو كنت بحاجة إلى تسجيل اسم مضيف مستعار مكرر SPN للحساب؟

A1 سجل SPN المطلوب كمسؤول Active Directory Enterprise.

س2 ماذا يحدث إذا قمت بإيقاف تشغيل تفرد SPN أو UPN؟

A2 لا نوصي بذلك. إذا لم تكن SPNs فريدة، فهذا كما لو أن أي SPNs مكررة غير مسجلة على الإطلاق. تسجيل SPN مكرر له نفس تأثير إلغاء تسجيل الاسم الأصلي. إذا لم تكن UPNs فريدة، فستفشل عمليات بحث المستخدم التي تستخدم UPNs المكررة.

س3 ماذا يحدث إذا قمت بإيقاف تشغيل تفرد اسم SPN المستعار؟

A3 لا نوصي بذلك. قد يغير غير المسؤول دقة اسم مستعار موجود SPN من تحليله الحالي إلى كمبيوتر تحت سيطرة غير المسؤول. قد يعمل هذا الكمبيوتر كخدمة لأن مصادقة الخادم التي يوفرها Kerberos ستقبل الحساب الجديد كمضيف صحيح للخدمة بدلا من الحساب الأصلي مع HOST SPN.

س4 كيف يمكن لمسؤول المجال العثور على SPNs مكررة أو UPNs موجودة بالفعل على الشبكة؟

A4 هذا ليس عمليا دون كتابة البرمجة النصية الشاملة لتعداد جميع SPNs و UPNs من المجال وربطها للعثور على التكرارات.

س5 ماذا يحدث إذا كان لدي مزيج من وحدات التحكم بالمجال التي تم تحديثها ولم يتم تحديثها أو إعدادات غير متطابقة بين وحدات التحكم بالمجال؟

A5 لن يتم حظر النسخ المتماثل بسبب UPNs المكررة أو SPNs. لذلك، يمكن النسخ المتماثلة إلى وحدات تحكم المجال الأخرى إذا تم إنشاء UPNs المكررة أو SPNs على وحدة تحكم مجال لا تحتوي على التحديث.

Facebook LinkedIn بريد إلكتروني
الاشتراك في موجز ويب لـ RSS

هل تحتاج إلى مزيد من المساعدة؟

الخروج من الخيارات إضافية؟

استكشف مزايا الاشتراك، واستعرض الدورات التدريبية، وتعرف على كيفية تأمين جهازك، والمزيد.

ميزات اشتراك Microsoft 365

تدريب Microsoft 365

أمان من Microsoft

مركز إمكانية وصول ذوي الاحتياجات الخاصة