Prijavite se pomoću Microsoft naloga
Prijavite se ili kreirajte nalog.
Zdravo,
Izaberite drugi nalog.
Imate više naloga
Odaberite nalog pomoću kojeg želite da se prijavite.

Rezime

Zaštite za CVE-2022-21920 uključene su u ispravke za 11. januar 2022. Windows ispravke, a kasnije Windows ispravkama. Te ispravke sadrže poboljšanu logiku za otkrivanje napada koji se svode na 3-delimična imena glavnih usluga kada koristite Microsoft Negotiate protokol za potvrdu identiteta.

Ovaj članak pruža uputstva kada Kerberos potvrda identiteta nije uspešna.

Više informacija

Instaliranje ispravki od 11. januara 2022. Windows a kasnije Windows može da izazove da potvrda identiteta ne uspe za 3-segmentne SPN-ove gde Kerberos potvrda identiteta nije uspešna. Za ova okruženja, verovatno da Kerberos potvrda identiteta za 3-segmentne SPN-ove nije radila već neko vreme. Možda ćete videti sledeći događaj na sajtu Windows za trijažu.

LSA događaj 40970 Screenshot koji identifikuje NTLM povratnu informaciju za određeni SPN iz Microsoft probnog okruženja.

Tekstualna verzija događaja LSA 40970

Događaj 40970

Bezbednosni sistem je otkrio pokušaj prelaska na niže vrednosti prilikom kontaktiranja trodiktorskog SPN-a

<SPN>

sa kodom greške "SAM baza podataka na Windows serveru nema računarski nalog za relaciju pouzdane radne baze podataka (0x0000018b)" Potvrda identiteta je odbijena.

Radnja

Microsoft preporučuje da odete na trijažu zašto Kerberos potvrda identiteta za trodimenžje SPN nije uspela. Neki uobičajeni razlozi za neuspešnu kerberos potvrdu identiteta uključuju sledeće: 

  • SPN koji se koristi kao cilj za potvrdu identiteta je malformisan. Više informacija potražite u temi Formati imena za jedinstvene SPN-ove.

    Napomena: Aplikacije i ABI-je možda imaju strože ili različite definicije o tome šta ih čine legitimnim SPN-om za njihovu uslugu.

    Primeri legitimnog SPN-a

    http/webserver 

    Host/machine2.contoso.com 

    Ldap/machine1.contoso.com/contoso.com 

    Servis/mašina1:10100 


    Primeri verovatno malformisanih SPN-a

    SPN 

    Razlog 

    Host/host/računar1 

    Host/host je najverovatnije greška pošto je "host" obično klasa usluge, a ne ime računara. Moguće je da je legitimni SPN host/računar1. 

    Ldap/machine/contoso.com:10100 

    Portovi mogu da se navedu na imenu hosta ("računar"), a ne na imenu instance usluge. Moguće je da je legitimni SPN "ldap/machine:10100/contoso.com" 

    Ldap/dc-a/DC=CONTOSO,DC=COM 

    Određene A API-je očekuju DNS ime umesto FQDN-a. Na primer, funkcija DsBindA (ntdsapi.h) očekuje da će biti prosleđuje u DNS imenu. Ako se FQDN prođe, može dovesti do malformisanog SPN-a.  
    Legitimni SPN može biti "ldap/dc-a/contoso.com"

    Da biste rešili ove probleme, razmotrite korišćenje ispravnog SPN-a ili registrovanje malformiranog SPN-a na odgovarajućem nalogu za uslugu.

  • SPN koji se koristi kao cilj za potvrdu identiteta ne postoji. Da biste rešili ovaj problem, razmotrite registraciju SPN-a u odgovarajući nalog za uslugu.

  • Klijentski računar Windows nema liniju vida do kontrolera domena (na primer, DC-ove su van mreže, nije ih moguće otkrijeti u DNS-u ili je pristup KDC portu blokiran).

  • NetBIOS imena možda koristite u scenariju kada NetBIOS imena ne rade. Primer je pristup resursima domena sa računara koji nije pridružen domenu, a NetBIOS rezolucija imena je onemogućena ili ne radi.

    Microsoft preporučuje korišćenje glavnog korisničkog imena (UPN) ili usluge Domain Name System (DNS) ime umesto imena netBIOS.

Registrovanje SPN-a 

U zavisnosti od konfiguracije aplikacije i okruženja, SPN-ovi se mogu konfigurisati na atributu Principal Name usluge naloga usluge ili nalogu računara koji se nalazi u domenu Active Directory sa kojim Kerberos klijent pokušava da uspostavi vezu kerberos. Da bi Kerberos potvrda identiteta ispravno funkcionisala, ciljni SPN mora da bude važeći.

Pogledajte dokumentaciju za primenu ili dobavljača podrške za svaku određenu aplikaciju da biste videli uputstva o tome kako da omogućite Kerberos potvrdu identiteta. Neki instalacioni programi ili aplikacije automatski registruju SPN-ove. Postoje različite opcije za projektante i za administratore da registruju SPN:

  • Da biste ručno registrovali SPN-ove za instancu usluge, pogledajte Setspn.

  • Da biste programski registrovali SPN-ove za instancu usluge, pogledajte kako usluga registruje svoje SPN-ove koji opisuju kako da:

    • Pozovite funkciju DsGetSpn da biste kreirali jedinstvene SPN-ove za instancu usluge. Više informacija potražite u temi Formati imena za jedinstvene SPN-ove.

    • Pozovite funkciju DsWriteAccountSpn da biste registrovali imena na nalogu za prijavljivanje u uslugu.

Poznati problemi

Trenutno nema poznatih problema sa ovom ispravkom.

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS FEEDOVE

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Otkrivanje Zajednica

Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.

Pogodnosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft bezbednost

Centar za pristupačnost

Zajednice vam pomažu da postavljate pitanja i odgovarate na pitanja, dajete povratne informacije i čujete mišljenje od stručnjaka sa bogatim znanjem.

Pitajte Microsoft zajednicu

Microsoft Tech zajednica

Windows insajderi

Microsoft 365 insajderi

Da li su vam ove informacije koristile?

Koliko ste zadovoljni kvalitetom jezika?
Šta je uticalo na vaše iskustvo?
Kada kliknete na dugme Prosledi“, vaše povratne informacije će se koristiti za poboljšanje Microsoft proizvoda i usluga. Vaš IT administrator će moći da prikupi ove podatke. Izjava o privatnosti.

Hvala vam na povratnim informacijama!

×