นำไปใช้กับ
Windows Server 2022 Windows Server 2019 Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Windows Server 2008 Service Pack 2

เปลี่ยนวันที่

เปลี่ยนคําอธิบาย

วันที่ 3 กุมภาพันธ์ 2569

  • ในส่วน "คําถามที่ถามบ่อย" ให้แก้ไขคําตอบสําหรับคําถามที่ 1จาก: ลงทะเบียน SPN ที่จําเป็นในฐานะผู้ดูแลระบบถึง: ลงทะเบียน SPN ที่จําเป็นเป็นผู้ดูแลระบบ Active Directory Enterprise

บทสรุป

การอัปเดต Windows สําหรับ CVE-2021-42282 ที่เผยแพร่เมื่อวันที่ 9 พฤศจิกายน 2021 เพิ่มการตรวจสอบแอตทริบิวต์ใน Active Directory (AD):

  • ชื่อหลักของผู้ใช้ (UPN) และชื่อหลักการบริการ (SPN) ที่ไม่ซ้ํากัน (ใหม่สําหรับ Windows 8 Windows Server 2012 และรุ่นก่อนหน้า) 

  • นามแฝง SPN ที่ไม่ซ้ํากัน (ใหม่สําหรับ Windows ทุกรุ่น) 

ชื่อหลักของผู้ใช้และชื่อหลักการบริการไม่ซ้ํากัน

คุณลักษณะนี้รับประกันว่า SPN จะไม่ซ้ํากันในฟอเรสต์ ซึ่งป้องกันไม่ให้คอมพิวเตอร์และตัวควบคุมโดเมนเพิ่ม SPN ที่ซ้ํากัน ฟังก์ชันการทํางานนี้มีอยู่แล้วใน Windows 8.1 ขึ้นไป และได้อธิบายไว้ใน SPN และ UPN uniqueness

เอกลักษณ์ของนามแฝง SPN

แอตทริบิวต์ AD ที่มีอยู่จะกําหนดนามแฝงสําหรับคลาสบริการทั่วไปจํานวนมากให้กับ HOST SPN ที่เทียบเท่าสําหรับบริการต่างๆ เช่น CIFS, HTTP และ RPC แอตทริบิวต์ AD ถูกกําหนดเป็นรายการในบริบทการตั้งชื่อการกําหนดค่าของฟอเรสต์ Active Directory ผู้ใช้ที่ไม่มีสิทธิ์ของผู้ดูแลระบบอาจไม่กําหนด SPN ที่ถูกกําหนดโดยนัยให้กับบัญชีอื่นโดยใช้นามแฝงนี้

หมายเหตุ การตรวจสอบนี้ดําเนินการนอกเหนือจากการตรวจสอบความเป็นเอกลักษณ์ของ UPN และ SPN

การตรวจสอบที่ไม่ซ้ํากันของนามแฝง SPN จะเปิดอยู่ตามค่าเริ่มต้น คุณสามารถปิดการตรวจสอบเหล่านี้ได้โดยการปรับเปลี่ยนอักขระ 21st ของแอตทริบิวต์ dSHeuristics ซึ่งแปลเป็นชุดอักขระ แอตทริบิวต์ dSHeuristics ไม่มีอยู่ตามค่าเริ่มต้น แต่คุณสามารถเพิ่มภายใต้ชื่อที่แตกต่าง "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local" การตั้งค่าที่เป็นไปได้และค่าบิตที่สอดคล้องกันมีดังนี้:

  • ค่า 0 – หมายถึง บังคับใช้ทั้งหมด (ไม่มีการตั้งค่าบิต 000) ค่าเริ่มต้น

  • ค่า 1 – หมายถึง ปิดใช้งานการตรวจสอบ UPN Uniqueness (บิต 0 ชุด - 001)

  • ค่า 2 – หมายถึง ปิดใช้งานการตรวจสอบที่ไม่ซ้ํากัน SPN (บิต 1 ชุด - 010)

  • ค่า 3 – หมายถึง ปิดใช้งานการตรวจสอบ UPN Uniqueness และ SPN Uniqueness (บิต 0 และ 1 ชุด - 011)

  • ค่า 4 – หมายถึง ปิดใช้งานการตรวจสอบนามแฝงที่ไม่ซ้ํากันของ SPN (ชุดบิต 2 - 100)

  • ค่า 5 – หมายถึง ปิดใช้งานนามแฝง SPN และการตรวจสอบที่ไม่ซ้ํากันของ UPN (บิต 2 และชุด 0 บิต - 101)

  • ค่า 6 - หมายถึง ปิดใช้งานนามแฝง SPN และค่าที่ไม่ซ้ํากันของ SPN (บิต 2 และชุด 1 บิต - 110)

  • ค่า 7 – หมายความว่า ปิดใช้งานทั้งหมด (บิตทั้งหมดตั้งค่าเป็น 111)

ตัว อย่าง เช่น: ถ้าคุณไม่ได้เปิดใช้งานการตั้งค่า dSHeuristics อื่นๆ ในฟอเรสต์ของคุณ และคุณต้องการปิดใช้งานการตรวจสอบที่ไม่ซ้ํากันของนามแฝง SPN เท่านั้น แอตทริบิวต์ dSHeuristics ควรตั้งค่าเป็น: "000000000100000000024" อักขระที่ตั้งค่าในกรณีนี้คือ: 10char : ต้องตั้งค่าเป็น 1 ถ้าแอตทริบิวต์ dSHeuristics มีอักขระอย่างน้อย 10 ตัว 20char : ต้องตั้งค่าเป็น 2 ถ้าแอตทริบิวต์ dSHeuristics มีอักขระอย่างน้อย 20 ตัว 21st char: ต้องตั้งค่าเป็นค่าในรายการด้านบน ค่า 4 หมายถึง ปิดใช้งานนามแฝง SPN ที่ไม่ซ้ํากัน

หมายเหตุ ถ้าแอตทริบิวต์ dSHeuristics ถูกตั้งค่าไว้แล้ว ตรวจสอบให้แน่ใจว่าได้ผสานการตั้งค่าที่มีอยู่เข้ากับสตริงแอตทริบิวต์ dSHeuristics ใหม่ของคุณ และยืนยันว่าอักขระที่ 10, 20 และ 21st ถูกตั้งค่าตามด้านบน อักขระอื่นๆ ที่ถูกตั้งค่าไว้แล้วจะยังคงไม่เปลี่ยนแปลง

สําหรับข้อมูลเพิ่มเติมเกี่ยวกับการกําหนดค่าอักขระ dSHeuristics โปรดดูเอกสารต่อไปนี้:

ข้อมูลเพิ่มเติม

ชื่อหลักเกณฑ์การบริการคืออะไร

ชื่อหลักการบริการ (SPN) คือตัวระบุเฉพาะสําหรับอินสแตนซ์ของบริการ การรับรองความถูกต้อง Kerberos ใช้ SPN เพื่อเชื่อมโยงอินสแตนซ์บริการกับบัญชีการลงชื่อเข้าใช้บริการ ซึ่งช่วยให้แอปพลิเคชันไคลเอ็นต์สามารถร้องขอให้บริการรับรองความถูกต้องของบัญชีได้ แม้ว่าไคลเอ็นต์จะไม่มีชื่อบัญชีก็ตาม โปรดดู ชื่อหลักเกณฑ์การบริการ สําหรับรายละเอียดเพิ่มเติม

ชื่อหลักของผู้ใช้คืออะไร

ชื่อหลักของผู้ใช้ (UPN) คือชื่อในการลงชื่อเข้าใช้แบบอีเมลสําหรับผู้ใช้ตามมาตรฐานอินเทอร์เน็ต RFC 822 สําหรับรายละเอียดเพิ่มเติม โปรดดูแอตทริบิวต์ User-Principal-Name

คำถามที่ถามบ่อย

คําถามที่ 1 จะเกิดอะไรขึ้นถ้าฉันจําเป็นต้องลงทะเบียนนามแฝงโฮสต์ SPN ซ้ํากันสําหรับบัญชี

A1 ลงทะเบียน SPN ที่จําเป็นเป็นผู้ดูแลระบบ Active Directory Enterprise

Q2 จะเกิดอะไรขึ้นถ้าฉันปิด SPN หรือ UPN ที่ไม่ซ้ํากัน

A2 เราไม่แนะนําสิ่งนี้ หาก SPNs ไม่ซ้ํากัน แสดงว่า SPN ที่ซ้ําไม่ได้ลงทะเบียนเลย การลงทะเบียน SPN ที่ซ้ํากันจะมีผลเหมือนกับการยกเลิกการลงทะเบียน SPN เดิม ถ้า UPN ไม่ซ้ํากัน การค้นหาผู้ใช้โดยใช้ UPN ที่ซ้ํากันจะล้มเหลว

Q3 จะเกิดอะไรขึ้นถ้าฉันปิดนามแฝง SPN ที่ไม่ซ้ํากัน

A3 เราไม่แนะนําสิ่งนี้ ผู้ที่ไม่ใช่ผู้ดูแลระบบอาจเปลี่ยนความละเอียดของ SPN นามแฝงที่มีอยู่จากความละเอียดปัจจุบันไปเป็นคอมพิวเตอร์ภายใต้การควบคุมที่ไม่ใช่ของผู้ดูแลระบบ คอมพิวเตอร์เครื่องนั้นอาจทําหน้าที่เป็นบริการนั้นเนื่องจากการรับรองความถูกต้องของเซิร์ฟเวอร์ที่ Kerberos ให้ยอมรับบัญชีใหม่เป็นโฮสต์ที่ถูกต้องสําหรับบริการแทนบัญชีเดิมด้วย HOST SPN

Q4 ผู้ดูแลระบบโดเมนจะค้นหา SPN หรือ UPN ที่ซ้ํากันที่มีอยู่บนเครือข่ายได้อย่างไร

A4 ซึ่งไม่ได้เป็นประโยชน์โดยไม่ได้เขียนสคริปต์อย่างกว้างขวางเพื่อแจงนับ SPN และ UPN ทั้งหมดจากโดเมนและสัมพันธ์กับการค้นหารายการที่ซ้ํากัน

Q5 จะเกิดอะไรขึ้นถ้าฉันมีตัวควบคุมโดเมนที่ผสมกันซึ่งได้รับการอัปเดตและไม่อัปเดตการตั้งค่าที่ไม่ตรงกันระหว่างตัวควบคุมโดเมน

A5 การจําลองแบบจะไม่ถูกบล็อกเนื่องจาก UPN หรือ SPN ซ้ํากัน ดังนั้น รายการที่ซ้ํากันสามารถจําลองแบบไปยังตัวควบคุมโดเมนอื่นถ้ามีการสร้าง UPN หรือ SPN ที่ซ้ํากันบนตัวควบคุมโดเมนที่ไม่มีการอัปเดต

Facebook LinkedIn อีเมล
สมัครใช้งานฟีด RSS

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ต้องการตัวเลือกเพิ่มเติมหรือไม่

สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ

ประโยชน์ของการสมัครใช้งาน Microsoft 365

การฝึกอบรม Microsoft 365

ความปลอดภัยของ Microsoft

ศูนย์การช่วยสําหรับการเข้าถึง