Microsoft hesabıyla oturum açın
Oturum açın veya hesap oluşturun.
Merhaba,
Farklı bir hesap seçin.
Birden çok hesabınız var
Oturum açmak istediğiniz hesabı seçin.

Özet

11 Ocak 2022 güncelleştirmeleri ve sonraki güncelleştirmelerde, 2022-2022 Windows VE 21920'ye Windows dahildir. Bu güncelleştirmeler, Microsoft Negotiate kimlik doğrulama protokolü kullanılırken 3 parçalı Hizmet Asıl Adları için eski sürümün saldırılarını algılayan geliştirilmiş mantık içerir.

Bu makalede Kerberos kimlik doğrulaması başarılı değilken yol gösterici bir bilgi bulabilirsiniz.

Daha fazla bilgi

11 Ocak 2022 Windows güncelleştirmelerini ve sonraki Windows güncelleştirmelerini yüklemek, Kerberos kimlik doğrulamasının başarısız olduğu 3 parçalı SPN'lerde kimlik doğrulamasının başarısız olmasına neden olabilir. Bu ortamlar için, büyük olasılıkla 3 parçalı SPN'ler için Kerberos kimlik doğrulaması bir süre çalışmamış olabilir. Önceliğe yardımcı olmak için Windows istemci sistemlerinde aşağıdaki olayı görebilirsiniz.

LSA Olay 40970 Ekran Görüntüsü, Microsoft test ortamından belirli bir SPN için BIR NTLM geri dönüş tanımlayan.

LSA Event 40970 Metin sürümü

Olay 40970

Güvenlik Sistemi, 3 parçalı SPN'ye başvurarak not verme girişimi algıladı

<SPN adı>

hata koduyla "Windows Server'da iş istasyonu güven ilişkisi (0x0000018b)" hata koduyla kimlik doğrulaması reddedildi.

İşlem

Microsoft, 3 parçalı SPN için Kerberos kimlik doğrulamasının neden başarısız olduğunu önce belirlemenizi önerir. Kerberos kimlik doğrulama hatasının yaygın nedenlerinden bazıları şunlardır: 

  • Kimlik doğrulaması için hedef olarak kullanılan SPN yanlış forma alındı. Daha fazla bilgi için bkz. Benzersiz SPN'ler için Ad Biçimleri.

    Not: Uygulamalar ve API'ler, hizmetleri için yasal SPN'nin ne olduğuyla ilgili daha sıkı veya farklı tanımlara sahip olabilir.

    Yasal SPN örnekleri

    http/webserver 

    Ana bilgisayar/makine2.contoso.com 

    Ldap/machine1.contoso.com/contoso.com 

    Hizmet/makine1:10100 


    Büyük olasılıkla hatalı formlu SPN örnekleri

    SPN 

    Neden 

    Ana bilgisayar/ana bilgisayar/makine1 

    Ana bilgisayar/ana bilgisayar büyük olasılıkla bir hatadır çünkü "ana bilgisayar" genellikle bir hizmet sınıfıdır ve makine adı değildir. Yasal SPN ana bilgisayar/makine1 olabilir. 

    Ldap/machine/contoso.com:10100 

    Bağlantı noktaları, hizmet örneği adı üzerinde değil ana bilgisayar adı üzerinde ("makine") belirtilebilir. Geçerli SPN'nin "ldap/machine:10100/contoso.com" olabilir 

    Ldap/dc-a/DC=CONTOSO,DC=COM 

    Bazı API'ler FQDN yerine bir DNS adı bekler. Örneğin, DsBindA işlevi (ntdsapi.h) bir DNS adıyla geçirileceğini bekler. FQDN geçirirse, hatalı formlu SPN'ye neden olabilir.  
    Yasal SPN'ler "ldap/dc-a/contoso.com" olabilir

    Bu sorunları düzeltmek için, doğru SPN'yi kullanmayı veya hatalı biçimli SPN'yi doğru hizmet hesabına kaydetmeyi düşünün.

  • Kimlik doğrulaması için hedef olarak kullanılan SPN yoktur. Bu sorunu gidermek için SPN'yi doğru hizmet hesabına kaydetmeyi düşünün.

  • Özel Windows makinede etki alanı denetleyicisine Line of Sight yok (DC'ler çevrimdışı gibi, DNS'de bulunamaz veya KDC bağlantı noktasına erişim engellenir).

  • NetBILGISAYARıNıZıN adlarının çalışmay olduğu bir senaryoda NetBILGISAYARıNıZıN adlarını kullanıyor olabilirsiniz. Örneğin, etki alanına katılmış olmayan bir makineden etki alanı kaynaklarına erişilir ve NetLı ad çözümlemesi devre dışı veya çalışmıyor.

    Microsoft, Kullanıcı Asıl Adı (UPN) veya Etki Alanı Adı Sistemi (DNS) kullanmayı önermektedir ad yerine NetBILGISAYARıNıZıN adını kullanın.

SPN'leri kaydetme 

Uygulamanın ve ortamının yapılandırmasına bağlı olarak, SPN'ler hizmet hesabının Hizmet Asıl Adı özniteliğinde veya Kerberos istemcisinin Kerberos bağlantısını kurmak için çalıştığı Active Directory etki alanında bulunan bilgisayar hesabı üzerinde yalıtabilirsiniz. Kerberos kimlik doğrulamasının doğru çalışması için hedef SPN'nin geçerli olması gerekir.

Kerberos kimlik doğrulamasını etkinleştirme hakkında yol gösterici bilgiler için her bir uygulamanın dağıtım belgelerine veya destek sağlayıcısına başvurun. Bazı uygulama yükleyicileri veya uygulamaları SPN'leri otomatik olarak kaydettirebilir. Hem geliştiricilerin hem de yöneticilerin SPN'yi kaydetmesi için farklı seçenekler vardır:

Bilinen sorunlar

Şu anda, bu güncelleştirmeyle ilgili bilinen bir sorun yok.

Facebook LinkedIn E-posta
RSS AKIŞLARINA ABONE OLUN

Daha fazla yardıma mı ihtiyacınız var?

Daha fazla seçenek mi istiyorsunuz?

Keşfedin Topluluk

Abonelik avantajlarını keşfedin, eğitim kurslarına göz atın, cihazınızın güvenliğini nasıl sağlayacağınızı öğrenin ve daha fazlasını yapın.

Microsoft 365 abonelik avantajları

Microsoft 365 eğitimi

Microsoft güvenliği

Erişilebilirlik merkezi

Topluluklar, soru sormanıza ve soruları yanıtlamanıza, geri bildirimde bulunmanıza ve zengin bilgiye sahip uzmanlardan bilgi almanıza yardımcı olur.

Microsoft Topluluğu'na sorun

Microsoft Tech Topluluğu

Windows Insider'lar

Microsoft 365 Insider'lar

Bu bilgi yararlı oldu mu?

Dil kalitesinden ne kadar memnunsunuz?
Deneyiminizi ne etkiledi?
Gönder’e bastığınızda, geri bildiriminiz Microsoft ürün ve hizmetlerini geliştirmek için kullanılır. BT yöneticiniz bu verileri toplayabilecek. Gizlilik Bildirimi.

Geri bildiriminiz için teşekkürler!

×