Přihlásit se pomocí účtu Microsoft
Přihlaste se nebo si vytvořte účet.
Dobrý den,
Vyberte jiný účet.
Máte více účtů.
Zvolte účet, pomocí kterého se chcete přihlásit.

Shrnutí

V aktualizacích z 11. ledna 2022 Windows aktualizace a novější aktualizace Windows. Tyto aktualizace obsahují vylepšenou logiku zjišťování útoků na downgrade pro hlavní názvy služeb s 3 částmi při použití ověřovacího protokolu Microsoft Negotiate.

Tento článek obsahuje pokyny, pokud ověřování Pomocí protokolu Kerberos není úspěšné.

Další informace

Instalace aktualizací 11. ledna 2022 Windows novějších aktualizací Windows může způsobit selhání ověřování u 3sou část sítí SPN, u kterých ověřování protokolem Kerberos neprospěje. V těchto prostředích je pravděpodobné, že ověřování Kerberos pro 3sou část sítí SPN nějakou dobu nefungovalo. V klientských systémech se může zobrazit následující Windows, která vám pomůže se ztučením.

Snímek obrazovky události LSA 40970 identifikující záložní název protokolu NTLM pro konkrétní hlavní název služby z testovacího prostředí Microsoftu.

Lsa Event 40970 Text version

Událost 40970

Systém zabezpečení zjistil pokus o přechod na nižší verzi při kontaktování 3-part SPN

<název SPN>

s kódem chyby "Databáze SAM na Windows Serveru nemá účet počítače pro vztah důvěryhodnosti pracovní stanice (0x0000018b)" bylo odepřeno ověřování.

Akce

Společnost Microsoft doporučuje, abyste si zkřesťovat, proč ověřování Kerberos pro 3-část hlavní název služby selhalo. K některým běžným důvodům selhání ověřování protokolem Kerberos patří: 

  • Hlavní název služby, který se používá jako cíl ověřování, je chybně formátovaný. Další informace najdete v tématu Formáty názvů pro jedinečné názvy SPN.

    Poznámka: Aplikace a rozhraní API mohou mít přísnější nebo odlišné definice toho, co představuje legitimní hlavní název služby pro jejich službu.

    Příklady legitimního pn

    http/webserver 

    Host/machine2.contoso.com 

    Ldap/machine1.contoso.com/contoso.com 

    Služba/stroj1:10100 


    Příklady pravděpodobně chybně formátovaných sítí SPN

    Hlavní název služby 

    Důvod 

    Host/host/machine1 

    Hostitel/hostitel je s největší pravděpodobností chybou, protože "hostitel" je obvykle třída služby a ne název počítače. Je možné, že legitimní hlavní název služby je hostitel/počítač1. 

    Ldap/machine/contoso.com:10100 

    Porty je možné zadat na názvu hostitele ("počítač") a ne na názvu instance služby. Legitimní hlavní název služby je ldap/machine:10100/contoso.com. 

    Ldap/dc-a/DC=CONTOSO,DC=COM 

    Některá rozhraní API očekávají název DNS místo plně kvalifikovaný název domény. Například funkce DsBindA (ntdsapi.h) očekává, že bude předána v názvu DNS. Pokud je plně kvalifikovaný název domény předán, může to mít za následek chybně formátovaný hlavní název služby.  
    Legitimní hlavní název služby může být ldap/dc-a/contoso.com.

    Pokud chcete tyto problémy vyřešit, zvažte použití správného názvu SPN nebo registraci chybně formátované hlavní název služby na správný účet služby.

  • Hlavní název služby, který se používá jako cíl ověřování, neexistuje. Pokud chcete tento problém vyřešit, zvažte registraci správného názvu služby do správného účtu služby.

  • Klientský Windows počítač nemá k řadiči domény čáru zraku (například řadiče domény jsou offline, nelze zjistit v DNS nebo je zablokovaný přístup k portu KDC).

  • Názvy NetBIOS můžete používat v situaci, kdy názvy NetBIOS nefungují. Příkladem je přístup k prostředkům domény z počítače, který není připojený k doméně, a rozlišení názvů NetBIOS je zakázané nebo nefunguje.

    Microsoft doporučuje používat hlavní uživatelské jméno (UPN) nebo DNS (Domain Name System) název namísto názvu NetBIOS.

Registrace sítí SPN 

V závislosti na konfiguraci aplikace a prostředí mohou být názvy SPN nakonfigurované na atributu Hlavní název služby účtu služby nebo na účtu počítače umístěném v doméně služby Active Directory, se kterou se klient Kerberos pokouší vytvořit připojení Kerberos. Aby ověřování kerberos fungovalo správně, musí být cílový hlavní název služby platný.

Pokyny k povolení ověřování protokolem Kerberos najdete v dokumentaci k nasazení nebo u poskytovatele podpory pro každou konkrétní aplikaci. Některé instalační programy aplikací nebo aplikace automaticky zaregistrují sítě SPN. Vývojáři i správci můžou zaregistrovat hlavní název služby různými způsoby:

  • Informace o ruční registraci sítí SPN pro instanci služby najdete v tématu Setspn.

  • Informace o programové registraci sítí SPN pro instanci služby najdete v tématu Jak služba zaregistruje své sítě SPN popisující postup:

    • Zavolejte funkci DsGetSpn a vytvořte jednu nebo více jedinečných SPN pro instanci služby. Další informace najdete v tématu Formáty názvů pro jedinečné názvy SPN.

    • Voláním funkce DsWriteAccountSpn zaregistrujte jména na přihlašovacím účtu služby.

Známé problémy

V současné době nejsou žádné známé problémy s touto aktualizací.

Facebook LinkedIn E-mail
PŘIHLÁSIT SE K ODBĚRU INFORMAČNÍCH KANÁLŮ RSS

Potřebujete další pomoc?

Chcete další možnosti?

Zjišťování Komunita

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Výhody předplatného Microsoftu 365

Školení k Microsoftu 365

Zabezpečení od Microsoftu

Centrum přístupnosti

Komunity vám pomohou klást otázky a odpovídat na ně, poskytovat zpětnou vazbu a vyslechnout odborníky s bohatými znalostmi.

Zeptejte se v komunitě Microsoftu

Technická komunita Microsoftu

Účastníci programu Windows Insider

Účastníci programu Microsoft 365 Insider

Byly tyto informace užitečné?

Jak jste spokojeni s kvalitou jazyka?
Co ovlivnilo váš názor?
Po stisknutí tlačítka pro odeslání se vaše zpětná vazba použije k vylepšování produktů a služeb Microsoftu. Váš správce IT bude moci tato data shromažďovat. Prohlášení o zásadách ochrany osobních údajů.

Děkujeme vám za zpětnou vazbu.

×