Bei Microsoft anmelden
Melden Sie sich an, oder erstellen Sie ein Konto.
Hallo,
Wählen Sie ein anderes Konto aus.
Sie haben mehrere Konten.
Wählen Sie das Konto aus, mit dem Sie sich anmelden möchten.

Zusammenfassung

Schutz für CVE-2022-21920 ist in den Updates vom 11. Januar 2022 Windows und höher Windows enthalten. Diese Updates enthalten eine verbesserte Logik zum Erkennen von Downgrade-Angriffen für 3-stufige Dienstprinzipalnamen bei Verwendung des Microsoft Negotiate-Authentifizierungsprotokolls.

Dieser Artikel enthält Eine Anleitung, wenn die Kerberos-Authentifizierung nicht erfolgreich ist.

Weitere Informationen

Die Installation der Updates vom 11. Januar 2022 Windows und höher Windows kann dazu führen, dass die Authentifizierung bei dreistufigen SPNs fehlschlägt, bei denen die Kerberos-Authentifizierung nicht erfolgreich ist. Für diese Umgebungen hat die Kerberos-Authentifizierung für drei teile SPNs wahrscheinlich eine Zeit nicht funktioniert. Möglicherweise wird auf Clientsystemen das folgende Ereignis Windows, um die Triage zu unterstützen.

LSA-Ereignis 40970 Screenshot, der einen NTLM-Fallback für einen bestimmten SPN aus einer Microsoft-Testumgebung identifiziert.

LSA Event 40970 Text version

Ereignis 40970

Das Sicherheitssystem hat beim Kontakt mit dem dreigeteilten SPN einen Downgradeversuch erkannt.

<SPN-Name>

mit dem Fehlercode "Die SAM-Datenbank auf dem Windows-Server verfügt nicht über ein Computerkonto für die Vertrauensstellungsbeziehung zur Arbeitsstation (0x0000018b)" die Authentifizierung wurde verweigert.

Aktion

Microsoft empfiehlt, dass Sie die Gründe für fehler bei der Kerberos-Authentifizierung für den dreigeteilten SPN ernennen. Zu den häufigen Ursachen für einen Fehler bei der Kerberos-Authentifizierung zählen die folgenden: 

  • Der SPN, der als Ziel für die Authentifizierung verwendet wird, ist falsch formatiert. Weitere Informationen finden Sie unter Namensformate für eindeutige SPNs.

    Hinweis: Anwendungen und APIs können strengere oder unterschiedliche Definitionen dafür haben, was einen rechtmäßigen SPN für ihren Dienst bildet.

    Beispiele für einen seriösen SPN

    http/webserver 

    Host/machine2.contoso.com 

    Ldap/machine1.contoso.com/contoso.com 

    Service/Computer1:10100 


    Beispiele für möglicherweise falsch formatierte SPNs

    SPN 

    Grund 

    Host/Host/Computer1 

    Host/Host ist höchstwahrscheinlich ein Fehler, da "Host" in der Regel eine Dienstklasse und kein Computername ist. Es ist möglich, dass der legitime SPN Host/Computer1 ist. 

    Ldap/machine/contoso.com:10100 

    Ports können auf dem Hostnamen ("Computer") und nicht im Namen der Dienstinstanz angegeben werden. Es ist möglich, dass der legitime SPN "ldap/machine:10100/contoso.com" ist. 

    LDAP/dc-a/DC=CONTOSO,DC=COM 

    Bestimmte APIs erwarten einen DNS-Namen anstelle eines FQDNs. Beispielsweise erwartet die DsBindA-Funktion (ntdsapi.h), dass sie in einem DNS-Namen übergeben wird. Wenn ein FQDN übergeben wird, kann dies zum falsch formatierten SPN führen.  
    Die legitime SPN kann "ldap/dc-a/contoso.com" sein.

    Um diese Probleme zu beheben, sollten Sie entweder den richtigen SPN verwenden oder den falsch formatierten SPN beim richtigen Dienstkonto registrieren.

  • SpN, der als Ziel für die Authentifizierung verwendet wird, ist nicht vorhanden. Um dieses Problem zu beheben, sollten Sie erwägen, den SPN für das richtige Dienstkonto zu registrieren.

  • Der Windows-Clientcomputer verfügt nicht über "Line of Sight" für einen Domänencontroller (beispielsweise sind die DCs offline, können nicht im DNS erkannt werden, oder der Zugriff auf den KDC-Port ist blockiert).

  • Möglicherweise verwenden Sie Net UNNR-Namen in einem Szenario, in dem Net UNNR-Namen nicht funktionieren. Ein Beispiel ist der Zugriff auf Domänenressourcen von einem Computer, der nicht mit einer Domäne verbunden ist, und die Net NETTOS-Namensauflösung ist entweder deaktiviert oder funktioniert nicht.

    Microsoft empfiehlt die Verwendung eines UPN (User Principal Name) oder eines Domain Name Systems (DNS). anstelle des Net UNNS-Namens.

Registrieren von SPNs 

Je nach Konfiguration der Anwendung und Ihrer Umgebung können SPNs für das Dienstprinzipalnamen-Attribut des Dienstkontos oder für das Computerkonto konfiguriert werden, das sich in der Active Directory-Domäne befindet, mit der der Kerberos-Client die Kerberos-Verbindung herzustellen versucht. Damit die Kerberos-Authentifizierung ordnungsgemäß funktioniert, muss der Ziel-SPN gültig sein.

Anleitungen zum Aktivieren der Kerberos-Authentifizierung finden Sie in der Bereitstellungsdokumentation oder beim Supportanbieter für jede bestimmte Anwendung. Einige Installationsprogramme oder Anwendungen registrieren SPNs automatisch. Es gibt verschiedene Optionen für Entwickler und Administratoren zum Registrieren eines SPNs:

  • Informationen zum manuellen Registrieren von SPNs für eine Dienstinstanz finden Sie unter Setspn.

  • Informationen zum programmgesteuerten Registrieren von SPNs für eine Dienstinstanz finden Sie unter So registriert ein Dienst seine SPNs und beschreibt so:

    • Rufen Sie die DsGetSpn-Funktion auf, um einen oder mehrere eindeutige SPNs für die Dienstinstanz zu erstellen. Weitere Informationen finden Sie unter Namensformate für eindeutige SPNs.

    • Rufen Sie die DsWriteAccountSpn-Funktion auf, um die Namen für das Anmeldekonto des Diensts zu registrieren.

Bekannte Probleme

Derzeit sind keine Probleme mit diesem Update bekannt.

Facebook LinkedIn E-Mail
RSS-FEEDS ABONNIEREN

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Entdecken Community

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

Vorteile des Microsoft 365-Abonnements

Microsoft 365-Training

Microsoft Security

Barrierefreiheitscenter

In den Communities können Sie Fragen stellen und beantworten, Feedback geben und von Experten mit umfassendem Wissen hören.

Fragen Sie die Microsoft Community

Microsoft Tech Community

Windows-Insider

Microsoft 365 Insider

War diese Information hilfreich?

Wie zufrieden sind Sie mit der Sprachqualität?
Was hat Ihre Erfahrung beeinflusst?
Wenn Sie auf "Absenden" klicken, wird Ihr Feedback zur Verbesserung von Produkten und Diensten von Microsoft verwendet. Ihr IT-Administrator kann diese Daten sammeln. Datenschutzbestimmungen.

Vielen Dank für Ihr Feedback!

×