Prisijunkite prie „Microsoft“
Prisijunkite arba sukurkite paskyrą.
Sveiki,
Pasirinkti kitą paskyrą.
Turite kelias paskyras
Pasirinkite paskyrą, kurią naudodami norite prisijungti.

Suvestinė

CVE-2022-21920 apsaugos įtrauktos į 2022 m. sausio 11 d. Windows naujinimus ir Windows naujinimus. Šie naujinimai apima patobulintą logiką, kad būtų galima aptikti 3 dalių tarnybos pagrindinių pavadinimų atakas, kai naudojamas "Microsoft Negotiate" autentifikavimo protokolas.

Šiame straipsnyje pateikiamos rekomendacijos, kai "Kerberos" autentifikavimas nepavyko.

Daugiau informacijos

Įdiegus 2022 m. sausio 11 d. Windows ir vėlesnius "Windows" naujinimus, gali nepavykti autentifikuoti 3 dalių SPN, kai "Kerberos" autentifikavimas nepavyko. Šiose aplinkose tikėtina, kad "Kerberos" autentifikavimas, skirtas 3 dalių SPN, kurį laiką neveikia. Galite matyti šį įvykį "Windows" sistemose, kad būtų galima padėti triage.

LSA Event 40970 Screenshot identifying an NTLM fallback for a specific SPN from a Microsoft test environment.

LSA Event 40970 Text version

Įvykis 40970

Saugos sistema aptiko pažeminimo bandymą, kai susisiekiate su 3 dalių SPN

<SPN pavadinimo>

su klaidos kodu "SAM duomenų bazė "Windows Server" neturi kompiuterio abonemento, kad būtų galima pasitikėti darbo vietos ryšiu (0x0000018b)" Autentifikavimas buvo atmestas.

Veiksmas

"Microsoft" rekomenduoja trinti, kodėl nepavyko naudoti "Kerberos" 3 dalių SPN autentifikavimo. Kai kurios dažniausios "Kerberos" autentifikavimo klaidos priežastys yra šios: 

  • SPN, kuris naudojamas kaip autentifikavimo paskirties vieta, yra neteisingai suformatuotas. Daugiau informacijos žr. Unikalių SPN vardų formatai.

    Pastaba: Taikomosios programos ir API gali turėti griežtesnes arba skirtingas apibrėžtis, kas sudaro teisėtą SPN jų tarnybai.

    Teisėto SPN pavyzdžiai

    http/webserver 

    Host/machine2.contoso.com 

    Ldap/machine1.contoso.com/contoso.com 

    Tarnyba / mašina1:10100 


    Galbūt netaisyvų SPN pavyzdžiai

    SPN 

    Priežastis 

    Host/host/machine1 

    Tikėtina, kad pagrindinis kompiuteris / pagrindinis kompiuteris yra klaida, nes "host" paprastai yra paslaugų klasė, o ne kompiuterio pavadinimas. Gali būti, kad teisėtas SPN yra pagrindinis kompiuteris / kompiuteris1. 

    Ldap/machine/contoso.com:10100 

    Prievadus galima nurodyti pagrindinio kompiuterio pavadinime ("kompiuteris"), o ne tarnybos egzemplioriaus pavadinime. Gali būti, kad teisėtas SPN yra "ldap/machine:10100/contoso.com" 

    Ldap/dc-a/DC=CONTOSO,DC=COM 

    Kai kurios API tikisi DNS pavadinimo, o ne FQDN. Pvz ., funkcija DsBindA (ntdsapi.h) tikisi būti perduota DNS vardu. Jei perduodamas FQDN, gali būti, kad jis suformavo neformatuotas SPN.  
    Teisėtas SPN gali būti "ldap/dc-a/contoso.com"

    Norėdami išspręsti šias problemas, apsvarstykite galimybę naudoti tinkamą SPN arba užregistruoti neteisingai suformatuotas SPN į tinkamą tarnybos paskyrą.

  • SPN, kuris naudojamas kaip autentifikavimo tikslas, nėra. Norėdami išspręsti šią problemą, apsvarstykite galimybę užregistruoti SPN į tinkamą tarnybos paskyrą.

  • "Windows" kliento kompiuteryje nėra "Line of Sight" domeno valdikliui (pvz., DC atjungti, negalima rasti DNS arba blokuojama prieiga prie KDC prievado).

  • Gali būti, kad netBIOS pavadinimus naudojate tokiu atveju, kai "NetBIOS" pavadinimai neveikia. Pavyzdys yra prieiga prie domeno išteklių ne domeno kompiuteryje, o "NetBIOS" vardų skiriamoji geba išjungta arba neveikia.

    "Microsoft" rekomenduoja naudoti vartotojo vardą (UPN) arba domenų vardų sistemą (DNS) pavadinimą, o ne NetBIOS pavadinimą.

SPN registravimas 

Atsižvelgiant į taikomosios programos konfigūraciją ir aplinką, SPN gali būti konfigūruojamas tarnybos paskyros atribute Pagrindinis tarnybos pavadinimas arba kompiuterio paskyroje, kuri yra "Active Directory" domene, su kuriais "Kerberos" klientas bando sukurti "Kerberos" ryšį. Kad "Kerberos" autentifikavimas veiktų tinkamai, tikslinis SPN turi galioti.

Norėdami sužinoti, kaip įgalinti "Kerberos" autentifikavimą, žr. kiekvienos konkrečios taikomosios programos diegimo dokumentaciją arba palaikymo teikėją. Kai kurios taikomųjų programų diegimo programos arba taikomosios programos automatiškai užregistruoja SPN. Kūrėjams ir administratoriams yra skirtingos SPN registravimo parinktys:

  • Norėdami rankiniu būdu užregistruoti SPN tarnybos egzemplioriui, žr. Setspn.

  • Norėdami programiškai registruoti SPN tarnybos egzemplioriui, žr. Kaip tarnyba užregistruoja spn , apibūdinanti, kaip:

    • Paskambinkite funkcijai DsGetSpn, kad sukurtumėte vieną ar daugiau unikalių SPN tarnybos egzemplioriui. Daugiau informacijos žr. Unikalių SPN vardų formatai.

    • Paskambinkite į funkciją DsWriteAccountSpn, kad užregistruotų vardus tarnybos prisijungimo paskyroje.

Žinomos problemos

Šiuo metu nėra žinomų šio naujinimo problemų.

Facebook LinkedIn Elektroninis paštas
UŽSISAKYTI RSS INFORMACIJOS SANTRAUKAS

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Galimos funkcijos Bendruomenė

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

„Microsoft 365“ prenumeratos pranašumai

„Microsoft 365“ mokymas

„Microsoft“ sauga

Pritaikymo neįgaliesiems centras

Bendruomenės padeda užduoti klausimus ir į juos atsakyti, pateikti atsiliepimų ir išgirsti iš ekspertų, turinčių daug žinių.

Klauskite „Microsoft“ bendruomenės

„Microsoft“ technologijų bendruomenė

„Windows Insider Preview“ programos dalyviai

„Microsoft 365“ „Insider“ programos dalyviai

Ar ši informacija buvo naudinga?

Ar esate patenkinti kalbos kokybe?
Kas turėjo įtakos jūsų įspūdžiams?
Paspaudus mygtuką Pateikti, jūsų atsiliepimai bus naudojami tobulinant „Microsoft“ produktus ir paslaugas. Jūsų IT administratorius galės rinkti šiuos duomenis. Privatumo patvirtinimas.

Dėkojame už jūsų atsiliepimą!

×