Applies ToWindows Server 2022 Windows Server 2019 Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Windows Server 2008 Service Pack 2

Zusammenfassung

Windows-Updates für CVE-2021-42282, die am 9. November 2021 veröffentlicht wurden, fügen die folgenden Verifizierungen für Attribute in Active Directory (AD) hinzu:

  • Eindeutigkeit von Benutzerprinzipalname (UPN) und Dienstprinzipalname (SPN) (neu für Windows 8, Windows Server 2012 und frühere Versionen) 

  • Eindeutigkeit des SPN-Alias (neu für alle Windows Versionen) 

Eindeutigkeit von Benutzerprinzipalname und Dienstprinzipalname

Diese Funktion garantiert, dass SPNs in einer Gesamtstruktur einzigartig sind, wodurch Computer und Domänencontroller daran gehindert werden, doppelte SPNs hinzuzufügen. Diese Funktionalität ist bereits in Windows 8.1 und höher vorhanden und wird in SPN- und UPN-Eindeutigkeit beschrieben.

Eindeutigkeit des SPN-Alias

Ein vorhandenes AD-Attribut definiert für Dienste wie CIFS, HTTP und RPC Aliase für viele gängige Dienstklassen zum äquivalenten Host-SPN. Das AD-Attribut wird als Liste im Konfigurationsbenennungskontext einer Active Directory-Gesamtstruktur definiert. Ein Benutzer ohne Administratorrechte kann einen SPN, der implizit einem anderen Konto zugewiesen ist, mithilfe dieses Aliasings nicht neu zuweisen.

Hinweis Diese Überprüfung wird zusätzlich zur Überprüfung auf UPN- und SPN-Eindeutigkeit durchgeführt.

Überprüfungen der Eindeutigkeit von SPN-Aliasen sind standardmäßig aktiviert. Sie können diese Überprüfungen deaktivieren, indem Sie das 21st-Zeichen des Attributs dSHeuristics ändern, das als Eine Reihe von Zeichen interpretiert wird. Das dSHeuristics-Attribut existiert standardmäßig nicht, Sie können es jedoch unter dem Namen „CN=Directory Service, CN= Windows NT,CN= Services,CN=Configuration,DC=support,DC=local“ hinzufügen. Mögliche Einstellungen und die dazugehörigen Bitwerte lauten wie folgt:

  • Wert 0 – bedeutet Alle erzwingen (keine Bits festgelegt 000) Standard

  • Wert 1 – bedeutet Deaktivieren der UPN-Eindeutigkeitsüberprüfung (Bit 0 festgelegt – 001)

  • Wert 2 – bedeutet Disable SPN Uniqueness verification (Bit 1 set – 010)

  • Wert 3 – bedeutet Disable UPN Uniqueness AND SPN Uniqueness verification(Deaktivieren der UPN-Eindeutigkeit und SPN-Eindeutigkeitsüberprüfung). (Bit 0 und 1 festgelegt – 011)

  • Wert 4 – bedeutet Überprüfung der Eindeutigkeit des SPN-Alias deaktivieren (Bit 2 festgelegt – 100)

  • Wert 5 – bedeutet Disable SPN Alias AND UPN Uniqueness verification (Bit 2 and bit 0 set – 101)

  • Wert 6 – bedeutet Disable SPN Alias AND SPN Uniqueness (Bit 2 and bit 1 set – 110)

  • Wert 7 – bedeutet Alle deaktivieren (alle Bits festgelegt 111)

Beispiel: Wenn In Ihrer Gesamtstruktur keine anderen dSHeuristics-Einstellungen aktiviert sind und Sie nur die Eindeutigkeitsüberprüfung des SPN-Alias deaktivieren möchten, sollte das dSHeuristics-Attribut auf "000000000100000000024" festgelegt werden. In diesem Fall werden folgende Zeichen festgelegt: 10. Zeichen: Muss auf 1 festgelegt werden, wenn das Attribut dSHeuristics mindestens 10 Zeichen umfasst. 20. Zeichen: Muss auf 2 festgelegt werden, wenn das Attribut dSHeuristics mindestens 20 Zeichen umfasst 21. Zeichen : Muss auf einen Wert in der obigen Liste festgelegt werden; Wert 4 bedeutet Eindeutigkeit des SPN-Alias deaktivieren.

Hinweis Wenn das dSHeuristics-Attribut bereits festgelegt ist, stellen Sie sicher, dass Sie die vorhandenen Einstellungen mit der neuen dSHeuristics-Attributzeichenfolge zusammenführen, und vergewissern Sie sich, dass die 10., 20. und 21. Zeichen wie oben festgelegt sind. Die anderen Zeichen, die bereits festgelegt sind, sollten unverändert bleiben.

Weitere Informationen zum Konfigurieren der dSHeuristics-Zeichen finden Sie in den folgenden Dokumenten:

Weitere Informationen

Was ist ein Dienstprinzipalname?

Ein Dienstprinzipalname (Service Principal Name, SPN) ist ein eindeutiger Bezeichner für eine Dienstinstanz. Die Kerberos-Authentifizierung verwendet SPNs, um eine Dienstinstanz einem Dienstanmeldekonto zuzuordnen. Dadurch kann eine Clientanwendung anfordern, dass der Dienst ein Konto authentifiziert, auch wenn der Client nicht über den Kontonamen verfügt. Weitere Informationen finden Sie unter Dienstprinzipalnamen.

Was ist ein Benutzerprinzipalname?

Ein Benutzerprinzipalname (User Principal Name, UPN) ist ein Anmeldename im E-Mail-Stil für einen Benutzer, der auf dem Internetstandard RFC 822 basiert. Weitere Informationen finden Sie unter User-Principal-Name-Attribut.

Häufig gestellte Fragen

F1 Was ist, wenn ich einen doppelten HOST-Alias SPN für das Konto registrieren muss?

A1 Registrieren Sie den erforderlichen SPN als Administrator.

F2 Was passiert, wenn ich die SPN- oder UPN-Eindeutigkeit deaktiviere?

A2 Dies wird nicht empfohlen. Wenn SPNs nicht eindeutig sind, dann ist es, als ob alle SPNs, die Duplikate sind, überhaupt nicht registriert sind. Das Registrieren eines doppelten SPNs hat dieselbe Auswirkung wie das Aufheben der Registrierung des ursprünglichen SPNs. Wenn UPNs nicht eindeutig sind, schlagen Benutzersuchen mit doppelten UPNs fehl.

F3 Was passiert, wenn ich die SPN-Alias-Eindeutigkeit deaktiviere?

A3 Dies wird nicht empfohlen. Ein Nicht-Administrator kann die Auflösung eines vorhandenen Alias-SPN von seiner aktuellen Auflösung auf einen Computer unter der Kontrolle des Nicht-Administrators ändern. Dieser Computer könnte als dieser Dienst fungieren, da die Serverauthentifizierung, die Kerberos bereitstellt, das neue Konto als den richtigen Host für den Dienst anstelle des ursprünglichen Kontos mit der Host-SPN akzeptieren würde.

F4 Wie kann ein Domänenadministrator doppelte SPNs oder UPNs finden, die bereits im Netzwerk vorhanden sind?

A4 Dies ist nicht praktikabel, ohne umfangreiches Skripting zu schreiben, um alle SPNs und UPNs aus der Domäne aufzuzählen und zu korrelieren, um Duplikate zu finden.

F5 Was passiert, wenn ich eine Mischung aus Domänencontrollern habe, die aktualisiert und nicht aktualisiert werden, oder wenn die Einstellungen zwischen den Domänencontrollern nicht übereinstimmen?

A5 Die Replikation wird aufgrund doppelter UPNs oder SPNs nicht blockiert. Daher können Duplikate auf andere Domänencontroller repliziert werden, wenn die doppelten UPNs oder SPNs auf einem Domänencontroller erstellt werden, der nicht über das Update verfügt.

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

In den Communities können Sie Fragen stellen und beantworten, Feedback geben und von Experten mit umfassendem Wissen hören.