Применяется к
Windows Server 2022 Windows Server 2019 Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Windows Server 2008 Service Pack 2

Дата изменения

Описание изменений

3 февраля 2026 г.

  • В разделе "Часто задаваемые вопросы" исправлен ответ на вопрос 1.От: Зарегистрируйте требуемое имя субъекта-службы в качестве администратора.Кому: Зарегистрируйте требуемое имя субъекта-службы в качестве администратора предприятия Active Directory.

Сводка

Обновления Windows для CVE-2021-42282 , выпущенные 9 ноября 2021 г., добавляют следующие проверки атрибутов в Active Directory (AD):

  • Уникальность имени субъекта-пользователя (UPN) и имени субъекта-службы (SPN) (новые возможности для Windows 8, Windows Server 2012 и более ранних выпусков) 

  • Уникальность псевдонимов имени субъекта-службы (новые для всех версий Windows) 

Уникальность имени субъекта-пользователя и субъекта-службы

Эта функция гарантирует, что имена субъектов-служб являются уникальными в лесу, что не позволяет компьютерам и контроллерам домена добавлять повторяющиеся имена субъектов-служб. Эта функция уже существует в Windows 8.1 и выше и описана в разделе Уникальность имени субъекта-службы и имени участника-пользователя.

Уникальность псевдонимов имени субъекта-службы

Существующий атрибут AD определяет псевдонимы для многих классов общих служб в эквивалентное имя субъекта-службы HOST для таких служб, как CIFS, HTTP и RPC. Атрибут AD определяется как список в контексте именования конфигурации леса Active Directory. Пользователь, не имеющий прав администратора, может не переназначить имя субъекта-службы, неявно назначенное другой учетной записи с помощью этого псевдонима.

Примечание Эта проверка реализуется в дополнение к проверке уникальности имени участника-пользователя и имени субъекта-службы.

Проверка уникальности псевдонимов имени субъекта-службы включена по умолчанию. Эти проверки можно отключить, изменив21-й символ атрибута dSHeuristics , который интерпретируется как ряд символов. Атрибут dSHeuristics не существует по умолчанию, но его можно добавить под различаемым именем "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". Возможные параметры и соответствующие им битовые значения:

  • Значение 0 — означает принудительное применение всех (без битов, установленных 000). Значение по умолчанию

  • Значение 1 — означает отключение проверки уникальности имени участника-пользователя (набор бита 0 — 001).

  • Значение 2 — означает отключение проверки уникальности имени субъекта-службы (бит 1 набор — 010).

  • Значение 3 — означает отключение проверки уникальности имени участника-пользователя и уникальности имени субъекта-службы. (бит 0 и набор 1 — 011)

  • Значение 4 — означает отключение проверки уникальности псевдонима субъекта-службы (набор битов 2 — 100).

  • Значение 5 — означает отключение проверки псевдонима имени субъекта-службы и проверки уникальности имени участника-пользователя (набор битов 2 и 0 — 101).

  • Значение 6 — означает отключение псевдонима имени субъекта-службы и уникальности имени субъекта-службы (бит 2 и бит 1 — 110).

  • Значение 7 — означает Отключить все (все биты задано 111)

Примере: Если в лесу не включены другие параметры dSHeuristics и вы хотите отключить только проверку уникальности псевдонима имени субъекта-службы, атрибуту dSHeuristics следует задать значение "000000000100000000024". В этом случае заданы следующие символы:10-й символ: должно быть установлено значение 1, если атрибут dSHeuristics составляет не менее 10 символов.20-й символ: должно быть установлено значение 2, если атрибут dSHeuristics содержит не менее 20 символов. 21st char: должно быть задано значение в списке выше; Значение 4 означает отключение уникальности псевдонима имени субъекта-службы.

Примечание Если атрибут dSHeuristics уже задан, объедините существующие параметры с новой строкой атрибута dSHeuristics и убедитесь, что 10-й, 20-й и 21-й символы заданы как указано выше. Остальные уже заданные символы должны оставаться без изменений.

Дополнительные сведения о настройке символов dSHeuristics см. в следующих документах:

Дополнительные сведения

Что такое имя субъекта-службы?

Имя субъекта-службы (SPN) — это уникальный идентификатор экземпляра службы. Проверка подлинности Kerberos использует имена субъектов-служб для связывания экземпляра службы с учетной записью входа в службу. Это позволяет клиентскому приложению запрашивать проверку подлинности учетной записи, даже если у клиента нет имени учетной записи. Дополнительные сведения см. в разделе Имена субъектов-служб .

Что такое имя участника-пользователя?

Имя участника-пользователя (UPN) — это имя для входа пользователя в стиле электронной почты, основанное на стандарте ИНТЕРНЕТА RFC 822. Дополнительные сведения см. в разделе Атрибут User-Principal-Name.

Вопросы и ответы

Вопрос 1 Что делать, если мне нужно зарегистрировать дубликат имени участника-службы HOST для учетной записи?

A1 Зарегистрируйте требуемое имя субъекта-службы в качестве администратора предприятия Active Directory.

Вопрос 2 Что произойдет, если отключить уникальность имени субъекта-службы или имени участника-пользователя?

A2 Мы не рекомендуем это делать. Если имена субъектов-служб не являются уникальными, все имена субъектов-служб, которые являются дубликатами, вообще не регистрируются. Регистрация повторяющегося имени субъекта-службы имеет тот же эффект, что и отмена регистрации исходного имени. Если имена участника-пользователя не являются уникальными, поиск пользователей с использованием повторяющихся имен субъектов-пользователей завершится ошибкой.

В3. Что произойдет, если отключить уникальность псевдонима имени субъекта-службы?

A3 Мы не рекомендуем это делать. Неадминистратор может изменить разрешение существующего имени субъекта-службы с текущего разрешения на компьютер под управлением неадминистратора. Этот компьютер может выступать в качестве этой службы, так как проверка подлинности сервера, которую предоставляет Kerberos, принимает новую учетную запись в качестве правильного узла для службы, а не исходную учетную запись с номером субъекта-службы HOST.

Вопрос 4. Как администратор домена может найти дублирующиеся имена субъектов-служб или имена субъектов-пользователей, уже присутствующих в сети?

A4 Это нецелесообразно без написания обширных скриптов для перечисления всех имен субъектов-служб и имени участника-службы из домена и сопоставления для поиска дубликатов.

Вопрос 5 Что произойдет, если у меня есть набор контроллеров домена, которые не обновлены или не совпадают с параметрами между контроллерами домена?

A5 Репликация не будет заблокирована из-за повторяющихся имен субъектов-служб или имен субъектов-служб. Таким образом, дубликаты могут реплицироваться на другие контроллеры домена, если дубликаты имени участника-службы или имена субъектов-служб создаются на контроллере домена, на который не установлено обновление.

Facebook LinkedIn Электронная почта
ПОДПИСКА НА RSS-КАНАЛЫ

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

Преимущества подписки на Microsoft 365

Обучение работе с Microsoft 365

Microsoft Security

Центр специальных возможностей