Ringkasan
Windows baru untuk VBA-2021-42282 yang dirilis pada tanggal 9 November 2021, tambahkan verifikasi untuk atribut berikut dalam Active Directory (AD):
-
Keunikan Nama prinsipal pengguna (UPN) dan nama prinsipal layanan (baru untuk Windows 8, Windows Server 2012, dan rilis sebelumnya)
-
Keunikan alias SPN (baru untuk semua Windows baru)
Nama prinsipal pengguna dan keunikan nama prinsipal layanan
Fitur ini menjamin bahwa SPN unik di hutan, yang mencegah komputer dan pengontrol domain menambahkan SPN duplikat. Fungsionalitas ini sudah ada dalam Windows 8.1 dan di atasnya serta dijelaskan dalam keunikan SPN dan UPN.
Keunikan alias SPN
Atribut AD yang sudah ada menentukan alias untuk banyak kelas layanan umum hingga HOST SPN yang setara untuk layanan seperti CIFS, HTTP, dan RPC. Atribut AD ditetapkan sebagai daftar dalam konteks penamaan konfigurasi hutan Direktori Aktif. Pengguna yang tidak memiliki hak administrator mungkin tidak menetapkan ulang SPN yang ditetapkan secara implisit ke akun berbeda menggunakan alias ini.
Note Verifikasi ini diterapkan selain verifikasi untuk unikitas UPN dan SPN.
Verifikasi keunikan alias SPN sudah on secara default. Anda bisa menonaktifkan verifikasi ini dengan memodifikasi karakter ke-21 atributdSHeuristics , yang diinterpretasikan sebagai serangkaian karakter. Atribut dSHeuristics tidak ada secara default, tetapi Anda dapat menambahkannya di bawah nama khusus "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". Pengaturan yang memungkinkan dan nilai bit terkaitnya adalah sebagai berikut:
-
Nilai 0 - berarti Berlakukan Semua (tidak ada bit yang diatur 000) Default
-
Nilai 1 - berarti Menonaktifkan verifikasi Ke uniqueness UPN (bit 0 diatur - 001)
-
Nilai 2 – berarti Menonaktifkan verifikasi Keunikan SPN (bit 1 diatur - 010)
-
Nilai 3 – berarti Menonaktifkan verifikasi Keunikan UPN DAN Keunikan SPN. (bit 0 dan 1 set - 011)
-
Nilai 4 – berarti Nonaktifkan verifikasi Ke unikan SPN (bit 2 diatur - 100)
-
Nilai 5 - berarti Nonaktifkan Alias SPN DAN verifikasi Keunikan UPN (bit 2 dan bit 0 diatur - 101)
-
Nilai 6 - berarti Menonaktifkan Alias SPN DAN Keunikan SPN (bit 2 dan bit 1 set - 110)
-
Nilai 7 - berarti Nonaktifkan Semua (semua bit diatur 111)
Contoh: Jika tidak ada pengaturan dSHeuristics lain yang diaktifkan di hutan Dan Anda hanya ingin menonaktifkan verifikasi keunikan alias SPN, atribut dSHeuristics harus diatur menjadi: "000000000100000000024"
Karakter yang diatur dalam kasus ini adalah:
Karakter ke-10 : Harus diatur ke 1 jika atribut dSHeuristics setidaknya 10 karakter
Karakter ke-20 : Harus diatur ke 2 jika atribut dSHeuristics setidaknya 20 karakter
Karakter ke-21: Harus diatur ke nilai dalam daftar di atas; nilai 4 berarti Nonaktifkan Keunikan Alias SPN.
Note Jika atribut dSHeuristics sudah diatur, pastikan untuk menggabungkan pengaturan yang sudah ada ke dalam string atribut dSHeuristics baru Anda dan pastikan bahwa karakter ke-10, ke-20, dan ke-21 disetel seperti di atas. Karakter lain yang sudah diatur tidak akan berubah.
Untuk informasi selengkapnya tentang mengonfigurasi karakter dSHeuristics, silakan baca dokumen berikut ini:
Informasi selengkapnya
Apa itu nama prinsipal layanan?
Nama prinsipal layanan (SPN) adalah pengidentifikasi unik untuk suatu instans layanan. Autentikasi Kerberos menggunakan SPN untuk mengaitkan instans layanan dengan akun masuk layanan. Hal ini memungkinkan aplikasi klien untuk meminta agar layanan mengautentikasi akun sekalipun klien tidak memiliki nama akun tersebut. Silakan lihat Nama Prinsipal Layanan untuk detail selengkapnya.
Apa itu nama prinsipal pengguna?
Nama prinsipal pengguna (UPN) adalah nama masuk gaya email untuk pengguna berdasarkan RFC 822 standar internet. Untuk detail selengkapnya, silakan lihat atribut Nama-Prinsipal-Pengguna.
Pertanyaan umum
P1 Bagaimana jika saya harus mendaftarkan duplikat alias SPN host untuk akun?
A1 Daftarkan SPN yang diperlukan sebagai administrator.
Q2 Apa yang terjadi jika saya menonaktifkan keunikan SPN atau UPN?
A2 Kami tidak menyarankan ini. Jika SPN tidak unik, maka seolah-olah SPN apa pun yang merupakan duplikat tidak terdaftar sama sekali. Mendaftarkan SPN duplikat memiliki efek yang sama seperti membatalkan pendaftaran SPN asli. Jika UPN tidak unik, pencarian pengguna menggunakan UPN duplikat akan gagal.
Q3 Apa yang terjadi jika saya menonaktifkan ke uniqueitas alias SPN?
A3 Kami tidak menyarankan ini. Non-administrator mungkin mengubah resolusi SPN alias yang sudah ada dari resolusinya saat ini ke komputer di bawah kontrol non-administrator. Komputer tersebut mungkin bertindak sebagai layanan tersebut karena autentikasi server yang menyediakan Kerberos akan menerima akun baru sebagai host yang benar untuk layanan dan bukan akun asli dengan SPN HOST.
Q4 Bagaimana administrator domain bisa menemukan SPN duplikat atau UPN yang sudah ada di jaringan?
A4 Hal ini tidak praktis tanpa perlu menulis skrip ekstensif untuk menghitung semua SPN dan UPN dari domain serta mengotor lanjut untuk menemukan duplikat.
T5 Apa yang terjadi jika saya memiliki campuran pengontrol domain yang diperbarui dan tidak diperbarui atau pengaturan tidak cocok antara pengontrol domain?
A5 Replikasi tidak akan diblokir karena duplikat UPN atau SPN. Oleh karena itu, duplikat dapat direplikasi ke pengontrol domain lain jika UPN atau SPN duplikat dibuat pada pengontrol domain yang tidak memiliki pembaruan.
