Velja za
Windows Server 2022 Windows Server 2019 Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Windows Server 2008 Service Pack 2

Spremeni datum

Opis spremembe

3. februar 2026

  • V razdelku »Pogosta vprašanja« ste popravili odgovor na 1. vprašanje.Iz: Zahtevano SPN registrirajte kot skrbnik.Če želite: Zahtevano SPN registrirajte kot skrbnika podjetja imenika Active Directory.

Povzetek

Posodobitve sistema Windows za CVE-2021-42282 , izdane 9. novembra 2021, dodajo naslednja preverjanja za atribute v imeniku Active Directory (AD):

  • Enoličnost glavnega imena uporabnika (UPN) in glavnega imena storitve (novo za Windows 8, Windows Server 2012 in starejše izdaje) 

  • Vzdevek SPN enoličnost (novo v vseh različicah sistema Windows) 

Glavno ime uporabnika in enoličnost glavnega imena storitve

Ta funkcija zagotavlja, da so spN-ji enolični v gozdu, kar računalnikom in krmilnikom domene preprečuje dodajanje podvojenih SPN-ov. Ta funkcija že obstaja v sistemu Windows 8.1 in zgoraj in je opisana v razdelku Enoličnost SPN in UPN.

Enoličnost vzdevka SPN

Obstoječi atribut AD določa vzdevke za številne pogoste razrede storitev, ki so enakovredni SPN-ju HOST za storitve, kot so CIFS, HTTP in RPC. Atribut AD je definiran kot seznam v kontekstu poimenovanja konfiguracije v gozdu imenika Active Directory. Uporabnik, ki nima skrbniških pravic, morda ne bo znova dodelil SPN, ki je implicitno dodeljen drugemu računu s tem vzdevekom.

Opomba To preverjanje se izvaja poleg preverjanja enoličnosti upn in SPN.

Preverjanja enoličnosti vzdevka SPN so privzeto vklopljena. Ta preverjanja lahko izklopite tako, da spremenite 21. znak atributa dSHeuristics , ki se interpretira kot niz znakov. Atribut dSHeuristics privzeto ne obstaja, lahko pa ga dodate pod razlikovalno ime "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". Možne nastavitve in njihove ustrezne bitne vrednosti so:

  • Vrednost 0 – pomeni Vsili vse (brez nabora bitov 000) Privzeto

  • Vrednost 1 – pomeni Onemogoči preverjanje enoličnosti upn (bit 0 nastavljeno - 001)

  • Vrednost 2 – pomeni Onemogoči preverjanje enoličnosti SPN (bit 1 nabor – 010)

  • Vrednost 3 – pomeni Onemogoči enoličnost UPN in preverjanje enoličnosti SPN. (bit 0 in 1 nastavljeno – 011)

  • Vrednost 4 – pomeni Onemogoči preverjanje enoličnosti vzdevka SPN (bit 2 nastavljeno – 100)

  • Vrednost 5 – pomeni Onemogoči vzdevek SPN IN preverjanje enoličnosti UPN (bit 2 in bit 0 nastavljena – 101)

  • Vrednost 6 – pomeni Onemogoči vzdevek SPN IN enoličnost SPN (bit 2 in bit 1 nabor – 110)

  • Vrednost 7 – pomeni Onemogoči vse (vsi biti nastavljeni 111)

Primer: Če v gozdu nimate omogočenih drugih nastavitev dSHeuristics in želite onemogočiti preverjanje enoličnosti vzdevka SPN, morate atribut dSHeuristics nastaviti na: »000000000100000000024« Znaki, ki so nastavljeni v tem primeru, so: 10th char: vrednost mora biti nastavljena na 1, če je atribut dSHeuristics vsaj 10 znakov 20th char: vrednost mora biti nastavljena na 2, če je atribut dSHeuristics vsaj 20 znakov 21st char: Mora biti nastavljena na vrednost na zgornjem seznamu; vrednost 4 pomeni Onemogoči enoličnost vzdevka SPN.

Opomba Če je atribut dSHeuristics že nastavljen, združite obstoječe nastavitve z novim nizom atributov dSHeuristics in potrdite, da so 10., 20. in 21. znak nastavljene na zgoraj. Drugi znaki, ki so že nastavljeni, bi morali ostati nespremenjeni.

Če želite več informacij o konfiguraciji znakov dSHeuristics, glejte te dokumente:

Več informacij

Kaj je glavno ime storitve?

Glavno ime storitve (SPN) je enolični identifikator primerka storitve. Kerberos authentication uses SPNs to associate a service instance with a service sign in account. Tako odjemalski program zahteva, da storitev preveri pristnost računa, tudi če odjemalec nima imena računa. Če želite več podrobnosti, glejte Glavna imena storitev.

Kaj je glavno ime uporabnika?

Glavno uporabniško ime (UPN) je ime za vpis v e-poštni slog za uporabnika, ki temelji na internetnem standardu RFC 822. Če želite več informacij, glejte Atribut User-Principal-Name.

Pogosta vprašanja

V1 Kaj naj naredim, če moram registrirati podvojeni vzdevek HOST SPN za račun?

A1 Zahtevano SPN registrirajte kot skrbnika podjetja imenika Active Directory.

V2 Kaj se zgodi, če izklopim enoličnost SPN ali UPN?

A2 Tega vam ne priporočamo. Če imena SPN niso enolična, je to tako, kot da vsa imena SPN, ki so podvojeni, niso registrirana. Registracija podvojenega SPN-ja ima enak učinek kot preklic registracije izvirnega. Če UPN-ji niso enolični, iskanja uporabnikov, ki uporabljajo podvojene UPN-je, ne bodo uspela.

V3 Kaj se zgodi, če izklopim enoličnost vzdevka SPN?

A3 Tega vam ne priporočamo. Ne skrbnik lahko spremeni ločljivost obstoječega vzdevka SPN iz trenutne ločljivosti v računalnik pod nadzorom ne skrbnika. Ta računalnik lahko deluje kot storitev, ker preverjanje pristnosti strežnika, ki ga zagotavlja Kerberos, sprejme nov račun kot pravilni gostitelj storitve namesto izvirnega računa s SPN-jem HOST.

V4 Kako lahko skrbnik domene poišče podvojene SPN-je ali UPN-je, ki so že v omrežju?

A4 To ni praktično brez pisanja obsežnega skriptnega izvajanja, da oštevilčevanje vseh SPN-ov in UPN-ov iz domene in korelacije za iskanje dvojnikov.

V5 Kaj se zgodi, če imam mešanico krmilnikov domene, ki se med krmilniki domene posodabljajo in ne posodabljajo ali neujemajo?

A5 Podvajanje ne bo blokirano zaradi podvojenih imen UPN ali SPN- ov. Zato se lahko dvojniki ponovijo v drugih krmilnikih domene, če so podvojeni UPN-ji ali SPN-ji ustvarjeni v krmilniku domene, ki nima posodobitve.

Facebook LinkedIn E-pošta
NAROČITE SE NA VIRE RSS

Ali potrebujete dodatno pomoč?

Ali želite več možnosti?

Raziščite ugodnosti naročnine, prebrskajte izobraževalne tečaje, preberite, kako zaščitite svojo napravo in še več.

Ugodnosti naročnine na Microsoft 365

Izobraževanje za Microsoft 365

Microsoftova varnost

Središče za dostopnost