Logga in med Microsoft
Logga in eller skapa ett konto.
Hej,
Välj ett annat konto.
Du har flera konton
Välj det konto som du vill logga in med.

Sammanfattning

Skydd för CVE-2022-21920 ingår i uppdateringarna från 11 januari 2022 Windows och senare Windows uppdateringar. De här uppdateringarna innehåller förbättrad logik för att identifiera nedgraderingsattacker för tredels Service Principal-namn när de använder Microsoft Negotiate autentiseringsprotokoll.

Den här artikeln innehåller vägledning när Kerberos-autentisering inte lyckas.

Mer information

Om du installerar Windows-uppdateringarna från 11 januari 2022 och senare Windows-uppdateringar kan det hända att autentiseringen misslyckas för tredels-SPN där Kerberos-autentiseringen inte lyckas. För de här miljöerna har kerberos-autentisering för spN med 3 delar inte fungerat på en tid. Följande händelse kan visas på Windows för att underlätta triage.

Skärmbild av LSA-händelse 40970 som identifierar ntlm-reserven för ett visst SPN från en Microsoft-testmiljö.

LSA-händelse 40970 textversion

Händelse 40970

Säkerhetssystemet har upptäckt ett nedgraderingsförsök när du kontaktar 3-part SPN

<SPN->

med felkoden "SAM-databasen på Windows Server har inte ett datorkonto för arbetsstationens förtroenderelation (0x0000018b)" autentisering nekades.

Åtgärd

Microsoft rekommenderar att du gör en trimering därför att Kerberos-autentiseringen för SPN-3-delen misslyckades. Här är några vanliga orsaker till Kerberos-autentiseringsfel: 

  • SPN som används som mål för autentisering är felaktigt. Mer information finns i Namnformat för unika SPN.

    Obs!: Program och API kan ha striktare eller olika definitioner för vad som utgör ett legitimt SPN för tjänsten.

    Exempel på ett legitimt SPN

    http/webserver 

    Host/machine2.contoso.com 

    Ldap/machine1.contoso.com/contoso.com 

    Service/maskin1:10100 


    Exempel på eventuellt malformade SPN

    SPN 

    Orsak 

    Värd/värd/dator1 

    Värd/värd är förmodligen ett misstag eftersom "värd" vanligtvis är en serviceklass och inte ett datornamn. Det är möjligt att det legitima SPN:t är värd/dator1. 

    Ldap/machine/contoso.com:10100 

    Portar kan anges på värdnamnet ("dator") och inte i tjänstinstansens namn. Det är möjligt att det legitima SPN:t är "ldap/machine:10100/contoso.com" 

    Ldap/dc-a/DC=CONTOSO,DC=COM 

    Vissa API:er förväntar sig ett DNS-namn i stället för ett FQDN. DsBindA-funktionen (ntdsapi.h) förväntas till exempel skickas i ett DNS-namn. Om ett FQDN överförs kan det resultera i ett malformat SPN.  
    Det legitima SPN kan vara "ldap/dc-a/contoso.com"

    För att lösa dessa problem kan du antingen använda rätt SPN eller registrera det malformade SPN till rätt tjänstkonto.

  • SPN som används som mål för autentisering finns inte. Du kan lösa problemet genom att registrera SPN på rätt tjänstkonto.

  • Klientdatorn Windows inte har synhåll för en domänkontrollant (t.ex. att dataenheterna är offline, kan inte identifieras i DNS eller så blockeras åtkomst till KDC-porten).

  • Du kanske använder NetBIOS-namn i ett scenario där NetBIOS-namn inte fungerar. Ett exempel är åtkomst till domänresurser från en dator som inte är domänkopplad och NetBIOS-namnmatchningen är antingen inaktiverad eller fungerar inte.

    Microsoft rekommenderar att du använder ett UPN (User Principal Name) eller ett DNS-system (Domain Name System) i stället för NetBIOS-namnet.

Registrera SPN 

Beroende på programmets och miljöns konfiguration kan SPN konfigureras för attributet Service Principal Name för tjänstkontot eller datorkontot i Active Directory-domänen som Kerberos-klienten försöker upprätta Kerberos-anslutningen med. För att Kerberos-autentiseringen ska fungera korrekt måste mål-SPN vara giltigt.

Se distributionsdokumentationen eller supportleverantören för varje specifikt program för anvisningar om hur du aktiverar Kerberos-autentisering. Vissa programinstallationsprogram eller program registrerar SPN automatiskt. Det finns olika alternativ för både utvecklare och administratörer att registrera ett SPN:

  • Information om hur du registrerar SPN manuellt för en tjänstinstans finns i Uppsättningarpn.

  • Om du vill registrera SPN för en tjänstinstans programmässigt kan du se Hur en tjänst registrerar sina SPN som beskriver hur du:

Kända problem

Det finns för närvarande inga kända problem med den här uppdateringen.

Facebook LinkedIn E-post
PRENUMERERA PÅ RSS-FEEDS

Behöver du mer hjälp?

Vill du ha fler alternativ?

Upptäck Community

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Fördelar med en Microsoft 365-prenumeration

Utbildning för Microsoft 365

Microsoft-säkerhet

Hjälpmedelscenter

Communities hjälper dig att ställa och svara på frågor, ge feedback och få råd från experter med rika kunskaper.

Fråga Microsoft-communityn

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Hade du nytta av den här informationen?

Hur nöjd är du med språkkvaliteten?
Vad påverkade din upplevelse?
Genom att trycka på skicka, kommer din feedback att användas för att förbättra Microsofts produkter och tjänster. IT-administratören kan samla in denna data. Sekretesspolicy.

Tack för din feedback!

×