Gäller för
Windows Server 2022 Windows Server 2019 Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Windows Server 2008 Service Pack 2

Ändra datum

Ändra beskrivning

den 3 februari 2026

  • I avsnittet "Vanliga frågor" korrigerade du svaret på fråga 1.Från: Registrera spn som administratör.Att: Registrera spn som active directory-företagsadministratör.

Sammanfattning

Windows-uppdateringar för CVE-2021-42282 som släpptes 9 november 2021 lägger till följande verifieringar för attribut i Active Directory (AD):

  • Unikhet för UPN-namn (User Principal Name) och SPN (nytt för Windows 8, Windows Server 2012 och tidigare versioner) 

  • UNIKA SPN-alias (nytt för alla Windows-versioner) 

Unikhet för användarhuvudnamn och tjänsthuvudnamn

Den här funktionen garanterar att SPN:er är unika i en skog, vilket hindrar datorer och domänkontrollanter från att lägga till dubblett-SPN. Den här funktionen finns redan i Windows 8.1 och senare och beskrivs i SPN- och UPN-unikhet.

UNIKHET för SPN-alias

Ett befintligt AD-attribut definierar alias för många vanliga tjänstklasser med motsvarande HOST SPN för tjänster som CIFS, HTTP och RPC. AD-attributet definieras som en lista i namnkontexten för konfigurationen för en Active Directory-skog. En användare som inte har administratörsbehörighet kanske inte omtilldelar ett SPN som implicit tilldelas till ett annat konto med hjälp av detta alias.

Obs! Verifieringen implementeras utöver verifieringen av UPN- och SPN-unikhet.

Unika SPN-aliasverifieringar är aktiverade som standard. Du kan inaktivera verifieringarna genom att ändra tecknet på 21st i attributet dSHeuristics , som tolkas som en serie tecken. Attributet dSHeuristics finns inte som standard, men du kan lägga till det under det unika namnet "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". Möjliga inställningar och motsvarande bitvärden är följande:

  • Värde 0 – innebär Framtvinga alla (inga bitar har angetts som 000) Standard

  • Värde 1 – innebär inaktivera verifiering av UPN-unikhet (bit 0 set – 001)

  • Värde 2 – innebär inaktivera verifiering av SPN-unikhet (bit 1-uppsättning – 010)

  • Värde 3 – innebär att du inaktiverar VERIFIERING AV UPN-unikhet OCH SPN-unikhet. (bit 0 och 1 set - 011)

  • Värde 4 – innebär att inaktivera verifiering av SPN-alias unikhet (bit 2-uppsättning – 100)

  • Värde 5 – innebär att inaktivera SPN-alias OCH VERIFIERING AV UPN-unikhet (bit 2- och bit 0-uppsättning – 101)

  • Värde 6 – innebär att inaktivera SPN-alias OCH SPN-unikhet (bit 2- och bit 1-uppsättning – 110)

  • Värde 7 – innebär Inaktivera alla (alla bitar har värdet 111)

Exempel: Om du inte har några andra dSHeuristics-inställningar aktiverade i skogen och du bara vill inaktivera verifiering av SPN-alias unikhet, ska attributet dSHeuristics anges till: "000000000100000000024" De tecken som anges i det här fallet är: 10:e tecken: Måste anges till 1 om attributet dSHeuristics är minst 10 tecken 20:e tecken: Måste anges till 2 om attributet dSHeuristics är minst 20 tecken 21st char: Måste anges till ett värde i listan ovan. värde 4 innebär Inaktivera UNIKHET för SPN-alias.

Obs! Om attributet dSHeuristics redan har angetts kopplar du de befintliga inställningarna till den nya attributsträngen dSHeuristics och bekräftar att de 10:e, 20: e och 21:a tecknen anges som ovan. Övriga tecken som redan har angetts bör inte ändras.

Mer information om hur du konfigurerar dSHeuristics-tecken finns i följande dokument:

Mer information

Vad är en tjänsts huvudnamn?

Ett servicehuvudnamn (SPN) är en unik identifierare för en tjänstinstans. Kerberos-autentisering använder SPN för att associera en tjänstinstans med ett tjänstinloggningskonto. Detta gör att ett klientprogram kan begära att tjänsten autentiserar ett konto även om klienten inte har kontonamnet. Mer information finns i Tjänstens huvudnamn .

Vad är ett huvudnamn?

Ett UPN (User Principal Name) är ett inloggningsnamn i e-postformat för en användare baserat på internetstandarden RFC 822. Mer information finns i Attributet User-Principal-Name.

Vanliga frågor och svar

F1 Vad gör jag om jag behöver registrera ett duplicerat HOST-alias SPN för konto?

A1 Registrera spn som active directory-företagsadministratör.

Q2 Vad händer om jag inaktiverar SPN- eller UPN-unikhet?

A2 Vi rekommenderar inte detta. Om SPN inte är unika är det som om alla SPN som är dubbletter inte är registrerade alls. Att registrera ett duplicerat SPN har samma effekt som att avregistrera det ursprungliga. Om UPN inte är unika misslyckas användaruppslag som använder dubblett-UPN.

Q3 Vad händer om jag inaktiverar UNIKA SPN-alias?

A3 Vi rekommenderar inte detta. En icke-administratör kan ändra upplösningen för ett befintligt alias SPN från dess aktuella upplösning till en dator som inte är administratör. Den datorn kan fungera som den tjänsten eftersom serverautentiseringen som Kerberos tillhandahåller skulle acceptera det nya kontot som rätt värd för tjänsten i stället för det ursprungliga kontot med HOST SPN.

Q4 Hur kan en domänadministratör hitta dubblett-SPN eller UPN som redan finns i nätverket?

A4 Detta är inte praktiskt utan att skriva omfattande skript för att räkna upp alla SPN och UPN från domänen och korrelera för att hitta dubbletter.

Q5 Vad händer om jag har en blandning av domänkontrollanter som uppdateras och inte uppdateras eller stämmer inte med inställningarna mellan domänkontrollanterna?

A5 Replikering blockeras inte på grund av duplicerade UPN eller SPN. Dubbletter kan därför replikeras till andra domänkontrollanter om dubbletterna av UPN eller SPN skapas på en domänkontrollant som inte har uppdateringen.

Facebook LinkedIn E-post
PRENUMERERA PÅ RSS-FEEDS

Behöver du mer hjälp?

Vill du ha fler alternativ?

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Fördelar med en Microsoft 365-prenumeration

Utbildning för Microsoft 365

Microsoft-säkerhet

Hjälpmedelscenter