Hatókör
Windows Server 2008 Windows 7 Service Pack 1 Windows Server 2008 R2 Service Pack 1 Windows Server 2012 Windows 8.1 Windows Server 2012 R2 Windows 10 Windows 10, version 1607, all editions Windows 10, version 1809, all editions Windows Server 2016 Windows 10, version 1909, all editions Windows Server 2019 Windows 10, version 20H2, all editions Windows 10, version 21H1, all editions Windows 10, version 21H2, all editions Windows 11 Windows Server 2022

Összefoglalás

A CVE-2022-21920-as biztonsági frissítéseket a 2022. január 11-i Windows és a későbbi Windows tartalmazza. Ezek a frissítések továbbfejlesztett logikát tartalmaznak a háromrészes egyszerű szolgáltatásnevek visszalépési támadásának észleléséhez a Microsoft Negotiate hitelesítési protokoll használata esetén.

Ez a cikk útmutatást nyújt, ha a Kerberos-hitelesítés sikertelen.

További információ

A 2022. január 11-i Windows és újabb Windows-frissítések telepítése sikertelen lehet a hitelesítés olyan háromrészes SPN-ek esetén, amelyekben a Kerberos-hitelesítés sikertelen. Ezekben a környezetekben valószínű, hogy a Kerberos-hitelesítés a háromrészes SPN-ekhez egy ideje nem működött. Az osztályozást segítő Ügyfélrendszerek Windows az alábbi eseményt láthatja.

LSA Event 40970 Screenshot identifying an NTLM fallback for a specific SPN from a Microsoft test environment.

LSA Event 40970 Text version

40970-es esemény

A biztonsági rendszer visszalépési kísérletet észlelt a háromrészes SPN-hez való kapcsolatfelvételkor

<SPN neve>

"A Windows-kiszolgálón található SAM-adatbázis nem rendelkezik számítógépfiókkal a munkaállomások megbízhatósági kapcsolatához (0x0000018b)" hibakód miatt a rendszer elutasította a hitelesítést.

Művelet

A Microsoft azt javasolja, hogy osztályozást javasoljon, hogy miért sikertelen a Kerberos-hitelesítés a háromrészes spn-hez. A Kerberos-hitelesítés sikertelenségének gyakori okai az alábbiak: 

  • A hitelesítés célként használt EGYSZERŰ felhasználócsoport formátuma hibás. További információ: Egyedi SPN-ek névformátumai.

    Megjegyzés: Az alkalmazások és AZ API-k szigorúbb vagy eltérő definíciókat is alkothatnak arra, hogy mi számít szolgáltatása egy valódi terméksúgónak.

    Példák valódi szervizcsomagok használatára

    http/webkiszolgáló 

    Host/machine2.contoso.com 

    Ldap/machine1.contoso.com/contoso.com 

    Service/machine1:10100 

    Példák esetleg hibás SPN-re

    SPN 

    Ok 

    Állomás/állomás/gép1 

    A Host/host (Állomás/állomás) valószínűleg hiba, mivel a "host" általában szolgáltatásosztály, nem pedig számítógépnév. Lehetséges, hogy a valódi SPN az állomás/gép1. 

    Ldap/machine/contoso.com:10100 

    Portokat az állomásnéven ("gép") lehet megadni, a szolgáltatási példány neve nem. Lehetséges, hogy a valódi SPN "ldap/machine:10100/contoso.com" 

    Ldap/dc-a/DC=CONTOSO,DC=COM 

    Egyes API-k teljes tartománynév helyett DNS-nevet várnak. A DsBindA függvény (ntdsapi.h) függvény például várhatóan egy DNS-névben lesz átadhatja. Ha a teljes tartomány teljes tartománya át van ülve, akkor előfordulhat, hogy hibásan formázott teljes tartományon fog átesni.  A valódi SPN a következő lehet: "ldap/dc-a/contoso.com"

    A problémák megoldásához fontolja meg a megfelelő spn-re való használatot, vagy regisztrálja a hibásan formázott szervizcsomagot a megfelelő szolgáltatásfiókban.

  • A hitelesítési célként használt SPN nem létezik. A probléma megoldásához fontolja meg az spn-t a megfelelő szolgáltatásfiókban regisztrálni.

  • Az Windows ügyfélgép nem rendelkezik a tartományvezérlővel (például a DCS-k offline állapotban vannak, nem található meg a DNS-ben, vagy le van tiltva a KDC-porthoz való hozzáférés).

  • Lehet, hogy Net SYMS neveket használ olyan helyzetben, ahol a Net SYMS nevek nem működnek. Példa: A tartományhoz nem tartományhoz csatlakozott gépről való tartományi erőforrások elérése és a Net MINDKÉT. névfeloldás le van tiltva vagy nem működik.A Microsoft egyszerű felhasználónevet (UPN) vagy DNS-t (User Principal Name System) használatát javasolja. névre a Net SYMS név helyett.

SPN-ek regisztrálása 

Az alkalmazás és a környezet konfigurációja alapján az SPN-eket a szolgáltatásfiók Egyszerű név attribútumában vagy abban az Active Directory-tartományban lévő számítógépfiókban konfigurálhatja, amelyhez a Kerberos-ügyfél a Kerberos-kapcsolatot próbálja létesíteni. Ahhoz, hogy a Kerberos-hitelesítés megfelelően működjön, a cél SPN-nek érvényesnek kell lennie.

A Kerberos-hitelesítés engedélyezésére vonatkozó útmutatásért minden egyes alkalmazáshoz olvassa el a telepítési dokumentációt vagy a támogatási szolgáltatót. Egyes alkalmazástelepítők vagy -alkalmazások automatikusan regisztrálják az SPN-eket. Az spn-t a fejlesztők és a rendszergazdák egyaránt különböző módon regisztrálhatják:

  • Ha kézzel regisztrálnia kell az SPN-eket egy szolgáltatási példányban, tekintse meg a Setspn (Készlet) részt.

  • Ha programozottan regisztrálja az SPN-eket egy szolgáltatási példányban, tekintse meg a Hogyan regisztrálja egy szolgáltatás az SPN-eket?

    • Hívja fel a DsGetSpn függvényt egy vagy több egyedi SPN létrehozásához a szolgáltatási példányhoz. További információ: Egyedi SPN-ek névformátumai.

    • Hívja fel a DsWriteAccountSpn függvényt, és regisztrálja a neveket a szolgáltatás bejelentkezési fiókjában.

Ismert problémák

A frissítésnek jelenleg nincsenek ismert problémái.

Facebook LinkedIn E-mail
FELIRATKOZÁS RSS-HÍRCSATORNÁKRA

További segítségre van szüksége?

További lehetőségeket szeretne?

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.

A Microsoft 365-előfizetés előnyei

Microsoft 365-képzés

Microsoft Biztonság

Akadálymentességi központ