Özet
Windows KASıM 2021'de yayınlanan VELI-2021-42282 güncelleştirmeleri Active Directory'de (AD) öznitelikler için aşağıdaki doğrulamaları ekler:
-
Kullanıcı asıl adı (UPN) ve hizmet asıl adı (SPN) benzersizliği (Windows 8, Windows Server 2012 ve önceki sürümlerde yenidir)
-
SPN diğer adı benzersizliği (tüm sürümlerde Windows yeni)
Kullanıcı asıl adı ve hizmet asıl adı benzersizliği
Bu özellik, SPN'lerin bir orman içinde benzersiz olduğunu garantiler. Bu da bilgisayarların ve etki alanı denetleyicilerinin yinelenen SPN'ler eklemesini önler. Bu işlevsellik zaten Windows 8.1 ve üstünde mevcuttur ve SPN ve UPN benzersizliği ile açıklanmıştır.
SPN diğer adı benzersizliği
Var olan ad özniteliği, birçok ortak hizmet sınıfı için DIĞER adları CIFS, HTTP ve RPC gibi hizmetler için eşdeğer HOST SPN'sine tanımlar. AD özniteliği, Active Directory ormanının yapılandırma adlandırma bağlamında bir liste olarak tanımlanır. Yönetici haklarına sahip olan bir kullanıcı, bu diğer adı kullanarak örtülü olarak farklı bir hesaba atanmış SPN'yi yeniden atayamabilir.
Yükleme dosyasının doğru sürümü ve sağlaması olduğunda Algıla ve Onar bu dosyanın üzerine kopyalamaz. Bu doğrulama, UPN ve SPN benzersizliği için doğrulamanın yanı sıra uygulanır.
SPN diğer adı benzersizliği doğrulamaları varsayılan olarak açıktır. Bir dizi karakter olarak yorumlanır ve dSHeuristics özniteliğinin 21. karakterini değiştirerek bu doğrulamaları kapatebilirsiniz. dSHeuristics özniteliği varsayılan olarak yoktur, ancak bunu "CN=Dizin Hizmeti,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local" ayırt edici adı altında ekleyin. Olası ayarlar ve ilgili bit değerleri şunlardır:
-
Değer 0 – Her Şeyi Zorla (000 bit kümesi yok) Varsayılan anlamına gelir
-
Değer 1 – UPN Benzersizliği doğrulamasını devre dışı bırak (bit 0 kümesi - 001) anlamına gelir
-
Değer 2 – SPN Benzersizliği doğrulamasını devre dışı bırak (bit 1 set - 010) anlamına gelir
-
Değer 3 – UPN Benzersizliğini VE SPN Benzersizliği doğrulamasını devre dışı bırak anlamına gelir. (bit 0 ve 1 küme - 011)
-
Değer 4 – SPN Diğer Adı Benzersizliği doğrulamasını devre dışı bırakma (bit 2 küme - 100) anlamına gelir
-
Değer 5 – SPN Diğer Adı VE UPN Benzersizliği doğrulamasını devre dışı bırakma (bit 2 ve bit 0 set - 101) anlamına gelir
-
Değer 6 - SPN Diğer Adı VE SPN Benzersizliğini Devre Dışı Bırak (bit 2 ve bit 1 kümesi - 110) anlamına gelir
-
Değer 7 – Devre Dışı Bırak (111 bit kümesi tüm bitleri) anlamına gelir
Örnek: Ormanınızı başka dSHeuristics ayarını etkinleştirdiyseniz ve SPN diğer adı benzersizliği doğrulamasını yalnızca devre dışı bırakmak istemiyorsanız , dSHeuristics özniteliği şöyle ayarilmelidir: "000000000100000000024"
Bu durumda ayarlanmış karakterler:
10. karakter: dSHeuristics özniteliği en az 10 karakterse 1 olarak ayarlanacak
20. karakter: dSHeuristics özniteliği en az 20 karakterse, 2 olarak ayarlanacak
21. karakter: Yukarıdaki listede bir değere ayar mutlaka; değer 4, SPN Diğer Adı Benzersizliğini Devre Dışı Bırak anlamına gelir.
Yükleme dosyasının doğru sürümü ve sağlaması olduğunda Algıla ve Onar bu dosyanın üzerine kopyalamaz. dSHeuristics özniteliği zaten ayarlanmışsa, var olan ayarları yeni dSHeuristics öznitelik dizeniz ile birleştirmeyi ve 10., 20. ve 21. karakterlerin yukarıdaki gibi ayar olduğundan emin olun. Önceden ayarlanmış olan diğer karakterler değişmeden kalmalıdır.
dSHeuristics karakterlerini yapılandırma hakkında daha fazla bilgi için lütfen aşağıdaki belgelere bakın:
Daha fazla bilgi
Hizmet sorumlusu adı nedir?
Hizmet asıl adı (SPN), bir hizmet örneğinin benzersiz tanımlayıcısıdır. Kerberos kimlik doğrulaması, bir hizmet örneğini bir hizmet oturum açma hesabıyla ilişkilendirmek için SPN'leri kullanır. bu, istemci uygulamasının hesap adına sahip değilken bile hizmetin bir hesabın kimliğini doğrulamasını isteğine olanak sağlar. Daha fazla bilgi için lütfen Hizmet Sorumlusu Adları'ne bakın.
Kullanıcı asıl adı nedir?
Kullanıcı asıl adı (UPN), İnternet standardı RFC 822'ye dayalı bir kullanıcının e-posta stili oturum açma adıdır. Daha fazla ayrıntı için lütfen User-Principal-Name özniteliğine bakın.
Sık sorulan sorular
S1 Hesap için yinelenen bir ANA BILGISAYAR diğer adı SPN'si kaydetmem gerekirse ne olur?
A1 Gerekli SPN'yi yönetici olarak kaydettirin.
S2 SPN veya UPN benzersizliğini kapat olursam ne olur?
A2 Bunu önerilmez. SPN'ler benzersiz değildir ve bu şekilde yinelenen SPN'ler hiç kayıtlı değildir. Yinelenen SPN'nin kaydı, özgün SPN'nin kaydının aynı şekilde kaydını kaldırmakla aynı etkiyi sağlar. UPN'ler benzersiz yoksa, yinelenen UPN'leri kullanan kullanıcı aramaları başarısız olur.
Q3 SPN diğer adı benzersizliğini kapat olursam ne olur?
A3 Bunu önerilmez. Yönetici olmayan bir kullanıcı, var olan diğer ad SPN'nin çözünürlüğünü geçerli çözünürlüğünden yönetici olmayan denetimi altındaki bir bilgisayara değiştirebilir. Kerberos'un sağladığı sunucu kimlik doğrulaması HOST SPN'sinde özgün hesap yerine hizmet için doğru ana bilgisayar olarak yeni hesabı kabul edecek olduğundan, bu bilgisayar bu hizmeti kullanabilir.
S4 Etki alanı yöneticisi, zaten ağ üzerinde mevcut olan yinelenen SPN'leri veya UPN'leri nasıl bulabilir?
A4 Bu, etki alanındaki tüm SPN'leri ve UPN'leri numaralara yazmak ve yinelenenleri bulmak için ilişkili olmak için kapsamlı komutlar yazmadan pratik olmaz.
S5 Etki alanı denetleyicilerinin güncelleştirilmiş ve güncelleştirilmez ya da etki alanı denetleyicileri arasında eşleşmeyen ayarların bir karışımına sahip olursam ne olur?
A5 Yineleme UPN'ler veya SPN'ler nedeniyle çoğaltma engellanmaz. Dolayısıyla, yinelenen UPN'ler veya SPN'ler güncelleştirme olmayan bir etki alanı denetleyicisinde oluşturulduğunda yinelemeler diğer etki alanı denetleyicilerine çoğaltılabilir.
