Kopsavilkums
Windows 2021-42282 atjauninājumi, kas izlaisti 2021. gada 9. novembrī, pievieno šādas Active Directory (AD) atribūtu pārbaudes:
-
Lietotāja pamatnosaukums (UPN) un pakalpojuma pamatnosaukums (SPN) unikalitāte (no jauna uz Windows 8, Windows Server 2012 un iepriekšējiem laidieniem)
-
SPN aizstājvārda unikalitāte (jaunums visām Windows versijām)
Lietotāja pamatnosaukums un pakalpojuma pamatnosaukums unikalitāte
Šis līdzeklis garantē, ka SPT ir unikāli mežā, kas neļauj datoriem un domēnu kontrolleriem pievienot dublikātu SPT. Šī funkcionalitāte jau pastāv Windows 8.1 un iepriekš aprakstītajā rakstā SPN un UPN unikalitāte.
SPN aizstājvārda unikalitāte
Esošs AD atribūts definē aizstājvārdus daudzām bieži lietotām pakalpojumu klasēm ar ekvivalentām HOST SPN pakalpojumiem, piemēram, RPCS, HTTP un RPC. AD atribūts ir definēts kā saraksts Active Directory meža konfigurācijas nosaukumdošanas kontekstā. Lietotājs, kuram nav administratora tiesību, var atkārtoti nepiešķirt SPN, kas ir netieši piešķirts citam kontam, izmantojot šo aizstājvārdu.
Piezīme. Šī pārbaude tiek ieviesta papildus UPN un SPN unikālo datu pārbaudei.
SPN aizstājvārda unikalitāti pārbaudes ir ieslēgtas pēc noklusējuma. Šīs pārbaudes varat izslēgt, modificējot atribūtu dSHeuristics 21. rakstzīmi, kas tiek interpretēta kā rakstzīmju sērija. Atribūts dSHeuristics pēc noklusējuma nepastāv, bet to var pievienot atšķiramā nosaukumā "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". Iespējamie iestatījumi un to atbilstošās bitu vērtības ir šādas:
-
Vērtība 0 — nozīmē Ieviest visu (nav iestatīts 000 bitu) noklusējums
-
Vērtība 1 — nozīmē Atspējot UPN unikalitāti (0 bitu kopa — 001)
-
Vērtība 2 — apzīmē SPN unikalitāti atspējošanas verifikācija (1. bits — 010)
-
3. vērtība — nozīmē, ka tiek atspējota UPN unikalitāte UN SPN unikalitāti pārbaude. (0 un 1 bits — 011)
-
4. vērtība — SPN aizstājvārdu unikalitāti atspējošanas pārbaude (2. bitu kopa — 100)
-
5. vērtība — atspējot SPN aizstājvārdu AND UPN unikalitāti pārbaude (2. bitu un 0. bits — 101)
-
Vērtība 6 — apzīmē Atspējot SPN aizstājvārdu UN SPN un unikalitāti (2. bitu un 1. bitu kopa — 110)
-
7. vērtība — nozīmē Atspējot visu (visi biti iestatīti 111)
Piemērs: Ja jūsu mežā nav iespējoti citi dSHeuristics iestatījumi un vēlaties atspējot tikai SPN aizstājvārda unikalitāti, atribūtam dSHeuristics ir jābūt iestatītam kā "000000000100000000024"
Šajā gadījumā iestatītās rakstzīmes ir:
10. rakstība : ja atribūts dSHeuristics ir vismaz 10 rakstzīmes, tam ir jābūt iestatītam uz 1.
20. rakstība : ja atribūts dSHeuristics ir vismaz 20 rakstzīmes, tam ir jābūt iestatītam uz 2.
21. rakstzīme: jāiestata vērtība iepriekš minētajā sarakstā; 4. vērtība nozīmē Atspējot SPN aizstājvārdu unikalitāti.
Piezīme. Ja atribūts dSHeuristics jau ir iestatīts, pārliecinieties , vai esošie iestatījumi ir sapludināti jaunajā dSHeuristics atribūta virknē un pārliecinieties, vai 10., 20. un 21. rakstzīmes ir iestatītas kā iepriekš. Citas rakstzīmes, kas jau ir iestatītas, paliek nemainīgas.
Papildinformāciju par dSHeuristics rakstzīmju konfigurēšanu skatiet šādos dokumentos:
Papildinformācija
Kas ir pakalpojuma pamatnosauums?
Pakalpojuma pamatnosauums (SPN) ir pakalpojuma instances unikāls identifikators. Kerberos autentifikācija izmanto SPT, lai saistītu pakalpojuma instanci ar pakalpojuma pierakstīšanās kontu. Tādējādi klienta lietojumprogramma var pieprasīt, lai pakalpojums autentificē kontu pat tad, ja klientam nav konta nosaukuma. Lai iegūtu papildinformāciju, skatiet rakstu Pakalpojumu pamatnosaukums.
Kas ir pamatnosaucums?
Lietotājvārds (user principal name — UPN) ir lietotāja e-pasta stila pierakstīšanās vārds, kura pamatā ir interneta standarta RFC 822. Papildinformāciju skatiet rakstā Atribūts User-Principal-Name.
bieži uzdotie jautājumi
1. jautājums Kas notiks, ja ir jāreģistrē konta dublikāts HOST aizstājvārds SPN?
A1 Reģistrējiet nepieciešamo SPN kā administrators.
2. kas notiek, ja izslēdzu SPN vai UPN unikalitāti?
A2 Mēs to neiesakām. Ja SPT nav unikāli, it kā visi SPN, kas ir dublikāti, vispār nebūtu reģistrēti. Reģistrējot SPN dublikātu, ir tāds pats efekts kā sākotnējā ieraksta atreģistrēšana. Ja UPN nav unikāli, lietotāju uzmeklēšana, izmantojot dublētus UPN, neizdosies.
3. jautājumi Kas notiek, ja izslēdzu SPN aizstājvārda unikalitāti?
A3 Mēs to neiesakām. Administrators, kas nav administrators, var mainīt esoša aizstājvārda SPN izšķirtspēju no pašreizējās izšķirtspējas uz datoru, ko kontrolē ne administratori. Šis dators var darboties kā šis pakalpojums, jo Kerberos nodrošinātā servera autentifikācija pieņems jauno kontu kā pareizo pakalpojuma resursdatoru, nevis sākotnējo kontu ar HOST SPN.
4. jautājumi Kā domēna administrators var atrast dublētos SPT vai UPN, kas jau atrodas tīklā?
A4 Tas nav praktiski bez plaša skripta rakstīšanas, lai uzskaitītu visus SPT un UPN no domēna un korelētu, lai atrastu dublikātus.
5. Kas notiek, ja domēnu kontrolleru ir sajaukti, kas tiek atjaunināti un nav atjaunināti vai neatbilstoši iestatījumi starp domēnu kontrolleriem?
A5 Replicēšana netiks bloķēta dublētu UPN vai SPT dēļ. Tāpēc dublikāti var replicēt citās domēnu kontrolleros, ja dublētie UPN vai SPT ir izveidoti domēna kontrollerī, kam nav atjauninājuma.
