Özet
11 Ocak 2022 güncelleştirmeleri ve sonraki güncelleştirmelerde, 2022-2022 Windows VE 21920'ye Windows dahildir. Bu güncelleştirmeler, Microsoft Negotiate kimlik doğrulama protokolü kullanılırken 3 parçalı Hizmet Asıl Adları için eski sürümün saldırılarını algılayan geliştirilmiş mantık içerir.
Bu makalede Kerberos kimlik doğrulaması başarılı değilken yol gösterici bir bilgi bulabilirsiniz.
Daha fazla bilgi
11 Ocak 2022 Windows güncelleştirmelerini ve sonraki Windows güncelleştirmelerini yüklemek, Kerberos kimlik doğrulamasının başarısız olduğu 3 parçalı SPN'lerde kimlik doğrulamasının başarısız olmasına neden olabilir. Bu ortamlar için, büyük olasılıkla 3 parçalı SPN'ler için Kerberos kimlik doğrulaması bir süre çalışmamış olabilir. Önceliğe yardımcı olmak için Windows istemci sistemlerinde aşağıdaki olayı görebilirsiniz.
LSA Olay 40970 Ekran Görüntüsü, Microsoft test ortamından belirli bir SPN için BIR NTLM geri dönüş tanımlayan. |
LSA Event 40970 Metin sürümü |
|
Güvenlik Sistemi, 3 parçalı SPN'ye başvurarak not verme girişimi algıladı <SPN adı> hata koduyla "Windows Server'da iş istasyonu güven ilişkisi (0x0000018b)" hata koduyla kimlik doğrulaması reddedildi. |
İşlem
Microsoft, 3 parçalı SPN için Kerberos kimlik doğrulamasının neden başarısız olduğunu önce belirlemenizi önerir. Kerberos kimlik doğrulama hatasının yaygın nedenlerinden bazıları şunlardır:
-
Kimlik doğrulaması için hedef olarak kullanılan SPN yanlış forma alındı. Daha fazla bilgi için bkz. Benzersiz SPN'ler için Ad Biçimleri.
Not: Uygulamalar ve API'ler, hizmetleri için yasal SPN'nin ne olduğuyla ilgili daha sıkı veya farklı tanımlara sahip olabilir.
Yasal SPN örnekleri
http/webserver
Ana bilgisayar/makine2.contoso.com
Ldap/machine1.contoso.com/contoso.com
Hizmet/makine1:10100
Büyük olasılıkla hatalı formlu SPN örnekleriSPN
Neden
Ana bilgisayar/ana bilgisayar/makine1
Ana bilgisayar/ana bilgisayar büyük olasılıkla bir hatadır çünkü "ana bilgisayar" genellikle bir hizmet sınıfıdır ve makine adı değildir. Yasal SPN ana bilgisayar/makine1 olabilir.
Ldap/machine/contoso.com:10100
Bağlantı noktaları, hizmet örneği adı üzerinde değil ana bilgisayar adı üzerinde ("makine") belirtilebilir. Geçerli SPN'nin "ldap/machine:10100/contoso.com" olabilir
Ldap/dc-a/DC=CONTOSO,DC=COM
Bazı API'ler FQDN yerine bir DNS adı bekler. Örneğin, DsBindA işlevi (ntdsapi.h) bir DNS adıyla geçirileceğini bekler. FQDN geçirirse, hatalı formlu SPN'ye neden olabilir.
Yasal SPN'ler "ldap/dc-a/contoso.com" olabilirBu sorunları düzeltmek için, doğru SPN'yi kullanmayı veya hatalı biçimli SPN'yi doğru hizmet hesabına kaydetmeyi düşünün.
-
Kimlik doğrulaması için hedef olarak kullanılan SPN yoktur. Bu sorunu gidermek için SPN'yi doğru hizmet hesabına kaydetmeyi düşünün.
-
Özel Windows makinede etki alanı denetleyicisine Line of Sight yok (DC'ler çevrimdışı gibi, DNS'de bulunamaz veya KDC bağlantı noktasına erişim engellenir).
-
NetBILGISAYARıNıZıN adlarının çalışmay olduğu bir senaryoda NetBILGISAYARıNıZıN adlarını kullanıyor olabilirsiniz. Örneğin, etki alanına katılmış olmayan bir makineden etki alanı kaynaklarına erişilir ve NetLı ad çözümlemesi devre dışı veya çalışmıyor.
Microsoft, Kullanıcı Asıl Adı (UPN) veya Etki Alanı Adı Sistemi (DNS) kullanmayı önermektedir ad yerine NetBILGISAYARıNıZıN adını kullanın.
SPN'leri kaydetme
Uygulamanın ve ortamının yapılandırmasına bağlı olarak, SPN'ler hizmet hesabının Hizmet Asıl Adı özniteliğinde veya Kerberos istemcisinin Kerberos bağlantısını kurmak için çalıştığı Active Directory etki alanında bulunan bilgisayar hesabı üzerinde yalıtabilirsiniz. Kerberos kimlik doğrulamasının doğru çalışması için hedef SPN'nin geçerli olması gerekir.
Kerberos kimlik doğrulamasını etkinleştirme hakkında yol gösterici bilgiler için her bir uygulamanın dağıtım belgelerine veya destek sağlayıcısına başvurun. Bazı uygulama yükleyicileri veya uygulamaları SPN'leri otomatik olarak kaydettirebilir. Hem geliştiricilerin hem de yöneticilerin SPN'yi kaydetmesi için farklı seçenekler vardır:
-
Hizmet örneğinde SPN'leri el ile kaydetmek için bkz. Setspn.
-
SPN'leri bir hizmet örneğine programatik olarak kaydetmek için bkz. Hizmet SPN'lerini kaydetme nasıl yaptığı açıklandı:
-
Hizmet örneğinde bir veya birden çok benzersiz SPN oluşturmak için DsGetSpn işlevini arayın. Daha fazla bilgi için bkz. Benzersiz SPN'ler için Ad Biçimleri.
-
Adları hizmetin oturum açma hesabına kaydetmek için DsWriteAccountSpn işlevini arayın.
-
Bilinen sorunlar
Şu anda, bu güncelleştirmeyle ilgili bilinen bir sorun yok.