|
日付の変更 |
説明を変更する |
|
2026 年 2 月 3 日 |
|
要約
2021 年 11 月 9 日にリリースされた CVE-2021-42282 の Windows 更新プログラムでは、Active Directory (AD) の属性に対して次の検証が追加されます。
-
ユーザー プリンシパル名 (UPN) とサービス プリンシパル名 (SPN) の一意性 (Windows 8、Windows Server 2012、以前のリリースの新機能)
-
SPN エイリアスの一意性 (すべての Windows バージョンに新しい)
ユーザー プリンシパル名とサービス プリンシパル名の一意性
この機能により、SPN がフォレスト内で一意であることを保証します。これにより、コンピューターとドメイン コントローラーが重複する SPN を追加できなくなります。 この機能は、Windows 8.1以上に既に存在し、「SPN と UPN の一意性」で説明されています。
SPN エイリアスの一意性
既存の AD 属性は、CIFS、HTTP、RPC などのサービスに対応する HOST SPN に対して、多くの一般的なサービス クラスのエイリアスを定義します。 AD 属性は、Active Directory フォレストの構成の名前付けコンテキストのリストとして定義されます。 管理者権限を持たないユーザーは、このエイリアスを使用して別のアカウントに暗黙的に割り当てられている SPN を再割り当てしない可能性があります。
注 この検証は、UPN と SPN の一意性の検証に加えて実装されます。
SPN エイリアスの一意性の検証は、既定でオンになっています。 これらの検証を無効にするには、dSHeuristics 属性の 21st 文字を変更します。これは、一連の文字として解釈されます。 dSHeuristics 属性は既定では存在しませんが、識別名 "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local" の下に追加できます。 使用可能な設定と対応するビット値は次のとおりです。
-
値 0 – すべて適用 (ビットセット 000 なし) 既定値を意味します
-
値 1 – UPN 一意性検証を無効にする (ビット 0 セット - 001) を意味します
-
値 2 – SPN 一意性検証を無効にする (ビット 1 セット - 010) を意味します
-
値 3 – UPN の一意性と SPN の一意性の検証を無効にします。 (ビット 0 と 1 セット - 011)
-
値 4 – SPN エイリアスの一意性検証を無効にする (ビット 2 セット - 100) を意味します
-
値 5 – SPN エイリアスと UPN 一意性の検証を無効にする (ビット 2 とビット 0 セット - 101) を意味します
-
値 6 - SPN エイリアスと SPN の一意性を無効にする (ビット 2 とビット 1 セット - 110) を意味します
-
値 7 – すべて無効 (すべてのビット セット 111) を意味します
例::フォレストで他の dSHeuristics 設定を有効にせず、SPN エイリアスの一意性検証のみを無効にする場合は、 dSHeuristics 属性を "000000000100000000024" に設定する必要があります。 この場合に設定される文字は次のとおりです: 10番目の 文字: dSHeuristics 属性が 10 文字以上の場合は、1 に設定する必要があります 20番目の 文字: dSHeuristics 属性が 20 文字以上の場合は、2 に設定する必要があります 21st char: 上記のリストの値に設定する必要があります。値 4 は、SPN エイリアスの一意性を無効にするを意味します。
注 dSHeuristics 属性が既に設定されている場合は、既存の設定を新しい dSHeuristics 属性文字列にマージし、10 番目、20 番目、21 番目の文字が上記のように設定されていることを確認してください。 既に設定されている他の文字は変更されません。
dSHeuristics 文字の構成の詳細については、次のドキュメントを参照してください。
詳細情報
サービス プリンシパル名とは
サービス プリンシパル名 (SPN) は、サービス インスタンスの一意の識別子です。 Kerberos 認証では、SPN を使用してサービス インスタンスをサービス サインイン アカウントに関連付けます。 これにより、クライアント アプリケーションは、クライアントがアカウント名を持っていない場合でも、サービスにアカウントの認証を要求できます。 詳細については、「 サービス プリンシパル名 」を参照してください。
ユーザー プリンシパル名とは
ユーザー プリンシパル名 (UPN) は、インターネット標準 RFC 822 に基づくユーザーの電子メール スタイルのサインイン名です。 詳細については、「 User-Principal-Name 属性」を参照してください。
よく寄せられる質問
Q1 重複する HOST エイリアス SPN をアカウントに登録する必要がある場合はどうすればよいですか?
A1 必要な SPN を Active Directory エンタープライズ管理者として登録します。
Q2 SPN または UPN の一意性をオフにするとどうなりますか?
A2 これはお勧めしません。 SPN が一意でない場合は、重複している SPN がまったく登録されていないかのように見える。 重複する SPN の登録は、元の SPN の登録解除と同じ効果があります。 UPN が一意でない場合、重複する UPN を使用したユーザー参照は失敗します。
Q3 SPN エイリアスの一意性をオフにするとどうなりますか?
A3 これはお勧めしません。 管理者以外のユーザーは、既存のエイリアス SPN の解決を現在の解決から管理者以外の制御下のコンピューターに変更する可能性があります。 Kerberos が提供するサーバー認証では、HOST SPN を使用した元のアカウントではなく、サービスの正しいホストとして新しいアカウントを受け入れるため、そのコンピューターがそのサービスとして機能する可能性があります。
Q4 ドメイン管理者は、ネットワーク上に既に存在する重複する SPN または UPN を見つける方法を説明します。
A4 これは、ドメインからすべての SPN と UPN を列挙し、重複を見つけるために関連付ける広範なスクリプトを記述しないと実用的ではありません。
Q5 ドメイン コントローラー間で更新され、更新されていない、または設定が一致しないドメイン コントローラーが混在している場合はどうなりますか?
A5 UPN または SPN が重複しているため、レプリケーションはブロックされません。 そのため、重複する UPN または SPN が更新プログラムを持たないドメイン コントローラーに作成されている場合、重複は他のドメイン コントローラーにレプリケートできます。
