Ισχύει για
Windows Server 2022 Windows Server 2019 Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Windows Server 2008 Service Pack 2

Αλλαγή ημερομηνίας

Αλλαγή περιγραφής

3 Φεβρουαρίου 2026

  • Στην ενότητα "Συνήθεις ερωτήσεις", διορθώθηκε η απάντηση για την ερώτηση 1.Από: Καταχωρήστε το απαιτούμενο SPN ως διαχειριστή.Να: Καταχωρήστε το απαιτούμενο SPN ως Διαχειριστή εταιρείας της υπηρεσίας καταλόγου Active Directory.

Σύνοψη

Οι ενημερώσεις των Windows για το CVE-2021-42282 που κυκλοφόρησαν στις 9 Νοεμβρίου 2021 προσθέτουν τις ακόλουθες επαληθεύσεις για χαρακτηριστικά στην υπηρεσία καταλόγου Active Directory (AD):

  • Μοναδικότητα κύριου ονόματος χρήστη (UPN) και κύριου ονόματος υπηρεσίας (SPN) (νέος χρήστης Windows 8, Windows Server 2012 και προηγούμενες εκδόσεις) 

  • Μοναδικότητα ψευδώνυμου SPN (νέο σε όλες τις εκδόσεις των Windows) 

Μοναδικότητα κύριου ονόματος χρήστη και κύριου ονόματος υπηρεσίας

Αυτή η δυνατότητα εγγυάται ότι τα SPN είναι μοναδικά σε ένα δάσος, γεγονός που εμποδίζει την προσθήκη διπλότυπων SPN σε υπολογιστές και ελεγκτές τομέα. Αυτή η λειτουργία υπάρχει ήδη στο Windows 8.1 και σε νεότερες εκδόσεις και περιγράφεται στο θέμα Μοναδικότητα SPN και UPN.

Μοναδικότητα ψευδώνυμου SPN

Ένα υπάρχον χαρακτηριστικό AD ορίζει ψευδώνυμα για πολλές κοινές κατηγορίες υπηρεσιών με το αντίστοιχο HOST SPN για υπηρεσίες όπως CIFS, HTTP και RPC. Το χαρακτηριστικό AD ορίζεται ως μια λίστα στο περιβάλλον ονομασίας παραμέτρων ενός δάσους υπηρεσίας καταλόγου Active Directory. Ένας χρήστης που δεν έχει δικαιώματα διαχειριστή ενδέχεται να μην εκχωρήσει εκ νέου ένα SPN που έχει εκχωρηθεί σιωπηρά σε διαφορετικό λογαριασμό χρησιμοποιώντας αυτό το ψευδώνυμο.

Σημείωση Αυτή η επαλήθευση υλοποιείται επιπροσθέτως της επαλήθευσης για τη μοναδικότητα ΤΟΥ UPN και του SPN.

Οι επαληθεύσεις μοναδικότητας ψευδώνυμου SPN είναι ενεργοποιημένες από προεπιλογή. Μπορείτε να απενεργοποιήσετε αυτές τις επαληθεύσεις τροποποιώντας το χαρακτήρα 21st του χαρακτηριστικού dSHeuristics , το οποίο ερμηνεύεται ως μια σειρά χαρακτήρων. Το χαρακτηριστικό dSHeuristics δεν υπάρχει από προεπιλογή, αλλά μπορείτε να το προσθέσετε με το αποκλειστικό όνομα "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". Οι πιθανές ρυθμίσεις και οι αντίστοιχες τιμές bit είναι οι εξής:

  • Τιμή 0 – Σημαίνει Επιβολή όλων (δεν έχουν οριστεί bit 000) Προεπιλογή

  • Τιμή 1 – σημαίνει απενεργοποίηση της επαλήθευσης μοναδικότητας UPN (σύνολο bit 0 - 001)

  • Τιμή 2 – σημαίνει απενεργοποίηση της επαλήθευσης μοναδικότητας του SPN (bit 1 set - 010)

  • Τιμή 3 – σημαίνει απενεργοποίηση της μοναδικότητας UPN ΚΑΙ της επαλήθευσης μοναδικότητας του SPN. (bit 0 και 1 set - 011)

  • Τιμή 4 – σημαίνει Απενεργοποίηση επαλήθευσης μοναδικότητας ψευδώνυμου SPN (σύνολο bit 2 - 100)

  • Τιμή 5 – σημαίνει Απενεργοποίηση της επαλήθευσης μοναδικότητας του SPN Alias AND UPN (σύνολο bit 2 και bit 0 - 101)

  • Τιμή 6 - σημαίνει Απενεργοποίηση της μοναδικότητας του SPN Alias AND SPN (bit 2 και bit 1 set - 110)

  • Τιμή 7 – σημαίνει Απενεργοποίηση όλων (όλα τα bit έχουν οριστεί 111)

Παράδειγμα: Εάν δεν έχετε ενεργοποιήσει άλλες ρυθμίσεις dSHeuristics στο δάσος σας και θέλετε να απενεργοποιήσετε μόνο την επαλήθευση μοναδικότητας του ψευδωνύμου SPN, το χαρακτηριστικό dSHeuristics θα πρέπει να έχει οριστεί σε: "000000000100000000024" Οι χαρακτήρες που ορίζονται σε αυτή την περίπτωση είναι: 10th char: Πρέπει να οριστεί σε 1 εάν το χαρακτηριστικό dSHeuristics είναι τουλάχιστον 10 χαρακτήρες 20th char: Πρέπει να οριστεί σε 2 εάν το χαρακτηριστικό dSHeuristics είναι τουλάχιστον 20 χαρακτήρες 21st char: Πρέπει να οριστεί σε μια τιμή στην παραπάνω λίστα. τιμή 4 σημαίνει Απενεργοποίηση της μοναδικότητας του ψευδώνυμου SPN.

Σημείωση Εάν το χαρακτηριστικό dSHeuristics έχει ήδη οριστεί, βεβαιωθείτε ότι έχετε συγχωνεύσει τις υπάρχουσες ρυθμίσεις στη νέα συμβολοσειρά χαρακτηριστικού dSHeuristics και επιβεβαιώστε ότι οι χαρακτήρες 10ος, 20ος και 21ος έχουν οριστεί ως παραπάνω. Οι άλλοι χαρακτήρες που έχουν ήδη οριστεί θα πρέπει να παραμείνουν αμετάβλητοι.

Για περισσότερες πληροφορίες σχετικά με τη ρύθμιση των παραμέτρων των χαρακτήρων dSHeuristics, ανατρέξτε στα ακόλουθα έγγραφα:

Περισσότερες πληροφορίες

Τι είναι το κύριο όνομα υπηρεσίας;

Το κύριο όνομα υπηρεσίας (SPN) είναι ένα μοναδικό αναγνωριστικό για μια παρουσία υπηρεσίας. Ο έλεγχος ταυτότητας Kerberos χρησιμοποιεί SPN για να συσχετίσει μια παρουσία υπηρεσίας με ένα λογαριασμό εισόδου υπηρεσίας. Αυτό επιτρέπει σε μια εφαρμογή-πελάτη να ζητήσει από την υπηρεσία να πραγματοποιήσει έλεγχο ταυτότητας ενός λογαριασμού, ακόμα και αν ο υπολογιστής-πελάτης δεν έχει το όνομα του λογαριασμού. Ανατρέξτε στο θέμα Κύρια ονόματα υπηρεσίας για περισσότερες λεπτομέρειες.

Τι είναι το κύριο όνομα χρήστη;

Το κύριο όνομα χρήστη (UPN) είναι ένα όνομα εισόδου σε στυλ ηλεκτρονικού ταχυδρομείου για ένα χρήστη με βάση το πρότυπο Internet RFC 822. Για περισσότερες λεπτομέρειες, ανατρέξτε στο χαρακτηριστικό User-Principal-Name.

Συνήθεις ερωτήσεις

Ε1 Τι γίνεται εάν χρειαστεί να καταχωρήσω ένα διπλότυπο ψευδώνυμο HOST SPN για λογαριασμό;

A1 Καταχωρήστε το απαιτούμενο SPN ως Διαχειριστή εταιρείας της υπηρεσίας καταλόγου Active Directory.

Ε2 Τι θα συμβεί αν απενεργοποιήσω τη μοναδικότητα του SPN ή του UPN;

A2 Δεν συνιστάται αυτό. Εάν τα SPN δεν είναι μοναδικά, τότε είναι σαν τα SPN που είναι διπλότυπα να μην έχουν καταχωρηθεί καθόλου. Η καταχώρηση ενός διπλότυπου SPN έχει το ίδιο αποτέλεσμα με την κατάργηση εγγραφής του αρχικού. Εάν τα UPN δεν είναι μοναδικά, οι αναζητήσεις χρήστη που χρησιμοποιούν διπλότυπα UPN θα αποτύχουν.

Q3 Τι θα συμβεί εάν απενεργοποιήσω τη μοναδικότητα του ψευδωνύμου SPN;

A3 Δεν συνιστάται αυτό. Ένας μη διαχειριστής μπορεί να αλλάξει την επίλυση ενός υπάρχοντος ψευδώνυμου SPN από την τρέχουσα ανάλυση σε έναν υπολογιστή που βρίσκεται υπό τον έλεγχο του μη διαχειριστή. Αυτός ο υπολογιστής μπορεί να ενεργεί ως η συγκεκριμένη υπηρεσία, επειδή ο έλεγχος ταυτότητας διακομιστή που παρέχει το Kerberos αποδέχεται το νέο λογαριασμό ως τον σωστό κεντρικό υπολογιστή για την υπηρεσία αντί για τον αρχικό λογαριασμό με το HOST SPN.

Q4 Πώς μπορεί ένας διαχειριστής τομέα να εντοπίσει διπλότυπα SPN ή UPN που υπάρχουν ήδη στο δίκτυο;

A4 Αυτό δεν είναι πρακτικό, αν δεν γράψετε εκτεταμένες δέσμες ενεργειών για να απαριθμήσετε όλα τα SPN και τα UPN από τον τομέα και να τα συσχετίσετε για να βρείτε διπλότυπα.

Q5 Τι συμβαίνει αν έχω ένα συνδυασμό ελεγκτών τομέα που ενημερώνονται και δεν ενημερώνονται ή δεν ασυμφωνούν ρυθμίσεις μεταξύ ελεγκτών τομέα;

A5 Η αναπαραγωγή δεν θα αποκλειστεί λόγω διπλότυπων UPN ή SPN. Επομένως, τα διπλότυπα μπορούν να αναπαραχθούν σε άλλους ελεγκτές τομέα, εάν τα διπλότυπα UPN ή SPN έχουν δημιουργηθεί σε έναν ελεγκτή τομέα που δεν διαθέτει την ενημέρωση.

Facebook LinkedIn Ηλεκτρονικό ταχυδρομείο
ΕΓΓΡΑΦΗ ΣΤΙΣ ΤΡΟΦΟΔΟΣΙΕΣ RSS

Χρειάζεστε περισσότερη βοήθεια;

Θέλετε περισσότερες επιλογές;

Εξερευνήστε τα πλεονεκτήματα της συνδρομής, περιηγηθείτε σε εκπαιδευτικά σεμινάρια, μάθετε πώς μπορείτε να προστατεύσετε τη συσκευή σας και πολλά άλλα.

Πλεονεκτήματα συνδρομής Microsoft 365

Εκπαίδευση Microsoft 365

Ασφάλεια της Microsoft

Κέντρο προσβασιμότητας