メイン コンテンツへスキップ
サポート
サインイン
Microsoft アカウントでサインイン
サインインまたはアカウントを作成してください。
こんにちは、
別のアカウントを選択してください。
複数のアカウントがあります
サインインに使用するアカウントを選択してください。

概要

2021 年 11 月 10 日にリリースされたCVE-2021-42282 の Windows 更新プログラムでは、Active Directory (AD) の属性に次の検証が追加されます。

  • ユーザー プリンシパル名 (UPN) とサービス プリンシパル名 (SPN) の一意性 (Windows 8、Windows Server 2012、および以前のリリースに新規対応) 

  • SPN エイリアスの一意性 (すべての Windows バージョンに新規対応) 

ユーザー プリンシパル名とサービス プリンシパル名の一意性

この機能は、SPN がフォレスト内で一意であることを保証し、コンピューターとドメイン コントローラーが重複 SPN を追加できないようにします。 この機能は既に Windows 8.1 で存在しており、SPN と UPN の一意性に関するページで説明されています

SPN エイリアスの一意性

既存の AD 属性は、CIFS、HTTP、RPC などのサービスに相当する HOST SPN に対し、多くの一般的なサービス クラスのエイリアスを定義します。 この AD 属性は、Active Directory フォレストの構成名前付けコンテキストの一覧として定義されます。 管理者権限を持たないユーザーは、このエイリアスを使用して別のアカウントに暗黙的に割り当てられている SPN を再割り当てできない可能性があります。

この検証は、UPN と SPN の一意性の検証に加えて実装されます。

SPN エイリアスの一意性検証は、既定で有効になっています。 これらの検証を無効にするには、dSHeuristics 属性の 21st 文字を変更します。これは、一連の文字として解釈されます。 dSHeuristics 属性は既定では存在しませんが、識別名「CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local」の下に追加できます。 利用可能な設定とそれに対応するビット値は次のとおりです。

  • 値 0 – すべて適用 (ビットセット 000 なし) 既定値を意味します

  • 値 1 – UPN 一意性検証を無効にする (ビット 0 セット - 001) を意味します

  • 値 2 – SPN 一意性検証を無効にする (ビット 1 セット - 010) を意味します

  • 値 3 – UPN の一意性と SPN の一意性の検証を無効にします。 (ビット 0 と 1 セット - 011)

  • 値 4 – SPN エイリアスの一意性検証を無効にする (ビット 2 セット - 100) を意味します

  • 値 5 – SPN エイリアスと UPN 一意性の検証を無効にする (ビット 2 とビット 0 セット - 101) を意味します

  • 値 6 - SPN エイリアスと SPN の一意性を無効にする (ビット 2 とビット 1 セット - 110) を意味します

  • 値 7 – すべて無効 (すべてのビット セット 111) を意味します

例::フォレストで他の dSHeuristics 設定を有効にせず、SPN エイリアスの一意性検証のみを無効にする場合は、 dSHeuristics 属性を "000000000100000000024"

に設定する必要があります。 この場合に設定される文字は次のとおりです。
10番目の 文字: dSHeuristics 属性が 10 文字以上の場合は、1 に設定する
必要があります 20番目の 文字: dSHeuristics 属性が 20 文字以上の場合は、2 に設定する
必要があります 21st char: 上記のリストの値に設定する必要があります。値 4 は、SPN エイリアスの一意性を無効にするを意味します。

 dSHeuristics 属性が既に設定されている場合は、既存の設定を新しい dSHeuristics 属性文字列にマージし、10 番目、20 番目、21 番目の文字が上記のように設定されていることを確認してください。 既に設定されている他の文字は変更されません。

dSHeuristics 文字の構成の詳細については、次のドキュメントを参照してください。

詳細

サービス プリンシパル名とは

サービス プリンシパル名 (SPN) は、サービス インスタンスの一意識別子です。 Kerberos 認証は、SPN を使用して、サービス インスタンスをサービス サインイン アカウントに関連付けます。 これにより、クライアント アプリケーションは、クライアントにアカウント名がなくても、サービスにアカウントを認証するように要求できます。 詳細については、「サービス プリンシパル名」を参照してください。

ユーザー プリンシパル名とは

ユーザー プリンシパル名 (UPN) は、インターネット標準 RFC 822 に基づくユーザーの電子メールのスタイルのサインイン名です。 詳細については、「User-Principal-Name 属性」を参照してください。

よく寄せられる質問

Q1 アカウントに重複 HOST エイリアスの SPN を登録する必要がある場合はどうすればいいですか。

A1 必要な SPN を管理者として登録します。

Q2 SPN または UPN の一意性をオフにした場合はどうなりますか。

A2 これは推奨されていません。 SPN が一意でない場合、あたかも重複している SPN が登録されていないかのようになります。 重複 SPN を登録すると、元の SPN を登録解除するのと同じ効果があります。 UPN が一意ではない場合、重複 UPN を使用したユーザー検索は失敗します。

Q3 SPN エイリアスの一意性を無効にした場合はどうなりますか。

A3 これは推奨されていません。 管理者以外のユーザーは、既存のエイリアスの SPN の解像度を現在の解像度から管理者以外のユーザーの制御下にあるコンピューターに変更できます。 Kerberos が提供するサーバー認証は、HOST SPN を持つ元のアカウントではなく、サービスの適切なホストとして新しいアカウントを受け入れるため、そのコンピューターはサービスとして機能する可能性があります。

Q4 ドメイン管理者は、ネットワーク上に既に存在する重複 SPN または UPN をどのように見つけられますか。

A4 ドメインからすべての SPN と UPN を列挙し、重複を検索するために関連付けるための詳細なスクリプトを記述しない限り、これは実用的ではありません。

Q5 ドメイン コントローラー間で設定が更新されているドメイン コントローラー、設定が更新されていないドメイン コントローラー、設定が一致しないドメイン コントローラーが混在する場合はどうなりますか。

A5 重複 UPN または SPN により、レプリケーションはブロックされません。 そのため、更新のないドメイン コントローラー上で重複 UPN または SPN が作成された場合、重複は他のドメイン コントローラーにレプリケートされる可能性があります。

Facebook LinkedIn メール
RSS フィードを購読する

ヘルプを表示

その他のオプションが必要ですか?

ディスカバー コミュニティ

サブスクリプションの特典の参照、トレーニング コースの閲覧、デバイスのセキュリティ保護方法などについて説明します。

Microsoft 365 サブスクリプションの特典

Microsoft 365 のトレーニング

Microsoft Security

アクセシビリティ センター

コミュニティは、質問をしたり質問の答えを得たり、フィードバックを提供したり、豊富な知識を持つ専門家の意見を聞いたりするのに役立ちます。

Microsoft コミュニティに問い合わせる

Microsoft 技術コミュニティ

Windows Insiders

Microsoft 365 Insiders

この情報は役に立ちましたか?

言語の品質にどの程度満足していますか?
どのような要因がお客様の操作性に影響しましたか?
[送信] を押すと、Microsoft の製品とサービスの改善にフィードバックが使用されます。 IT 管理者はこのデータを収集できます。 プライバシーに関する声明。

フィードバックをいただき、ありがとうございます。

×