KB5014754：Windows 網域控制站上的憑證型驗證變更

找不到強式憑證對應，而且憑證沒有 KDC 可以驗證的新安全性識別碼 (SID) 延伸模組。

事件記錄檔	系統
事件類型	如果 KDC 處於相容模式，則會發出警告 如果 KDC 處於強制模式，則發生錯誤
事件來源	Kdcsvc
事件識別碼	39 41 (適用於 Windows Server 2008 R2 SP1 和 Windows Server 2008 SP2)
事件文字	金鑰發佈中心 (KDC) 遇到有效的使用者憑證，但無法以強式方式對應至使用者，例如透過明確對應、金鑰信任對應或 SID) (。 這類憑證應該透過明確對應來取代或直接對應至使用者。 請參閱 https://go.microsoft.com/fwlink/?linkid=2189925 以瞭解更多資訊。 使用者：<主體名稱> 憑證主體：憑證> 中的 <主體名稱 憑證簽發者：<簽發者完整網域名稱 (FQDN) > 憑證序號：<憑證> 序號 憑證指紋：憑證> 的 <指紋

憑證是在使用者存在於 Active Directory 中之前簽發給使用者，而且找不到強式對應。 只有在 KDC 處於相容性模式時，才會記錄此事件。

事件記錄檔	系統
事件類型	錯誤
事件來源	Kdcsvc
事件識別碼	40 48 (適用於 Windows Server 2008 R2 SP1 和 Windows Server 2008 SP2
事件文字	金鑰發佈中心 (KDC) 遇到有效的使用者憑證，但無法以強式方式對應至使用者，例如透過明確對應、金鑰信任對應或 SID) (。 憑證也早於它對應到的使用者，因此它被拒絕。 請參閱 https://go.microsoft.com/fwlink/?linkid=2189925 以瞭解更多資訊。 使用者：<主體名稱> 憑證主體：憑證> 中的 <主體名稱 憑證簽發者：<簽發者 FQDN> 憑證序號：<憑證> 序號 憑證指紋：憑證> 的 <指紋 憑證發行時間：<憑證> 的FILETIME 帳戶建立時間：AD> 中主體物件的 <FILETIME

使用者憑證的新延伸模組中包含的 SID 與使用者 SID 不符，表示憑證已發行給另一個使用者。

事件記錄檔	系統
事件類型	錯誤
事件來源	Kdcsvc
事件識別碼	41 49 (適用於 Windows Server 2008 R2 SP1 和 Windows Server 2008 SP2)
事件文字	金鑰發佈中心 (KDC) 遇到有效的使用者憑證，但包含與其對應之使用者不同的 SID。 因此，涉及憑證的要求失敗。 請參閱 https://go.microsoft.cm/fwlink/?linkid=2189925 以瞭解更多資訊。 使用者：<主體名稱> 使用者 SID：驗證主體> 的 <SID 憑證主體：憑證> 中的 <主體名稱 憑證簽發者：<簽發者 FQDN> 憑證序號：<憑證> 序號 憑證指紋：憑證> 的 <指紋 憑證 SID：在新的憑證延伸模組> 中找到 <SID

注意事項 某些欄位 （例如「簽發者」、「主旨」和「序號」） 會以「轉遞」格式報告。 當您將對應字串新增至 altSecurityIdentities 屬性時，您必須反轉此格式。 例如，若要將 X509IssuerSerialNumber 對應新增至使用者，請搜尋您要對應至使用者之憑證的「簽發者」和「序號」欄位。 請參閱下面的範例輸出。

• 簽發者：CN=CONTOSO-DC-CA、DC=CONTOSO、DC=com

• 序列號： 2B0000000011AC0000000012

然後，使用下列字串更新 Active Directory 中使用者的 altSecurityIdentities 屬性：

• 「X509：<我>DC=com，DC=contoso，CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B」

若要使用 Powershell 更新此屬性，您可以使用下列命令。 請記住，根據預設，只有網域管理員才有權限更新此屬性。

• set-aduser 'DomainUser' -replace @{altSecurityIdentities= “X509：<我>DC=com，DC=contoso，CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B”}

請注意，當您反轉 SerialNumber 時，您必須保留位元組順序。 這表示反轉序列號 “A1B2C3” 應該會產生字串 “C3B2A1” ， 而不是 “3C2B1A”。 如需詳細資訊，請參閱 操作方法：透過 altSecurityIdentities 屬性中可用的所有方法，將使用者對應至憑證。

安裝 2022 年 5 月 10 日 Windows 更新後，設備將處於兼容模式。 如果憑證可以強對應至使用者，則會如預期般進行驗證。 如果憑證只能弱對應至使用者，則會如預期般進行驗證。 不過，除非憑證比使用者舊，否則會記錄警告訊息。 如果憑證比使用者舊，且憑證回溯登錄機碼不存在，或範圍超出回溯補償，則驗證將會失敗，並記錄錯誤訊息。  如果已設定憑證回溯登錄機碼，如果日期落在回溯補償範圍內，它會在事件記錄檔中記錄警告訊息。

安裝 2022 年 5 月 10 日 Windows 更新之後，請留意一個月或更長時間後可能出現的任何警告訊息。 如果沒有警告訊息，強烈建議您在所有網域控制站上啟用完整強制模式，使用憑證型驗證。 您可以使用 KDC 登錄機碼 來啟用完整強制執行模式。

除非稍早使用 StrongCertificateBindingEnforcement 登錄機碼更新為稽核模式或強制模式，否則在安裝 2025 年 2 月 Windows 安全性更新時，網域控制站將會移至完整強制模式。 如果無法強式對應憑證，則會拒絕驗證。 移回相容模式的選項將保留到 2025 年 9 月。 在此日期之後，將不再支援 StrongCertificateBindingEnforcement 登錄機碼

如果憑證型驗證依賴您無法從環境中移動的弱式對應，您可以使用 登錄機碼設定將網域控制站置於 [停用] 模式。 Microsoft 不建議 這樣做，我們將在 2023 年 4 月 11 日刪除禁用模式。

在 Server 2019 和更新版本上安裝 2024 年 2 月 13 日或更新版本的 Windows 更新，並支援已安裝 RSAT 選擇性功能的用戶端之後，Active Directory 使用者 & 電腦中的憑證對應會預設為使用 X509IssuerSerialNumber 選取強式對應，而不是使用 X509IssuerSubject 的弱式對應。 該設置仍然可以根據需要更改。

症狀

Microsoft收到報告指出，群組原則物件「系統 > 管理範本 > 電腦設定 > 系統管理範本群組原則 >設定登錄原則處理」下的「即使群組原則物件尚未變更也處理」可能會間歇性干擾網域控制站上以名稱為基礎的對應。

因應措施

若要解決此問題，請在網域控制站上停用「即使群組原則物件尚未變更仍會處理」設定。 只有在需要「系統 > KDC > 系統管理範本 > 電腦設定 > 允許憑證的名稱型強式對應」群組原則中定義的名稱型對應時，才執行此動作。 如需詳細資訊，請參閱 在政府案例中啟用強式名稱型對應。

後續步驟

我們正在調查這些報告，並將在可用時提供更多信息。

• 使用相關電腦上的 Kerberos 作業記錄檔，判斷哪個網域控制站登入失敗。 移至事件檢視器 > 應用程式和服務記錄\Microsoft \Windows\Security-Kerberos\Operational。

• 在帳戶嘗試驗證的網域控制站上的系統事件記錄檔中尋找相關事件。

• 如果憑證比帳戶舊，請重新發行憑證，或將安全的 altSecurityIdentities 對應新增至帳戶 (請參閱 憑證對應) 。

• 如果憑證包含 SID 延伸模組，請確認 SID 符合帳戶。

• 如果憑證用於驗證數個不同的帳戶，則每個帳戶都需要個別的 altSecurityIdentities 對應。

• 如果憑證沒有帳戶的安全對應，請新增一個或將網域保留為相容模式，直到可以新增為止。

TLS 憑證對應的範例是使用 IIS 內部網路 Web 應用程式。

• 安裝 CVE-2022-26391 和 CVE-2022-26923 保護之後，這些案例預設會使用 Kerberos 憑證服務 For User (S4U) 通訊協定進行憑證對應和驗證。

• 在 Kerberos 憑證 S4U 通訊協定中，驗證要求會從應用程式伺服器流向網域控制站，而不是從用戶端流向網域控制站。 因此，相關事件將出現在應用程式伺服器上。

安裝 2025 年 9 月或之後發行的 Windows 更新後，將不受支援此登錄機碼。

登錄子機碼	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
值	StrongCertificateBinding強制執行
資料類型	REG_DWORD
資料	1 — 檢查是否有強式憑證對應。 如果是，則允許驗證。 否則，KDC 會檢查憑證是否有新的 SID 延伸模組，並驗證它。 如果此延伸模組不存在，則如果使用者帳戶早於憑證，則允許進行驗證。 2 – 檢查是否有強式憑證對應。 如果是，則允許驗證。 否則，KDC 會檢查憑證是否有新的 SID 延伸模組，並驗證它。 如果此擴充功能不存在，則會拒絕驗證。 0 – 停用強式憑證對應檢查。 不建議使用，因為這會停用所有安全性增強功能。 如果您將此設定為 0，您也必須將 CertificateMappingMethods 設定為 0x1F，如下列 Schannel 登錄機碼一節所述，電腦憑證型驗證才能成功。
需要重新啟動嗎？	否

當伺服器應用程式需要用戶端驗證時，Schannel 會自動嘗試將 TLS 用戶端提供的憑證對應至使用者帳戶。 您可以建立將憑證資訊與 Windows 使用者帳戶相關聯的對應，以驗證使用用戶端憑證登入的使用者。 建立並啟用憑證對應之後，每次用戶端提供用戶端憑證時，您的伺服器應用程式都會自動將該使用者與適當的 Windows 使用者帳戶產生關聯。

Schannel 會嘗試對應您已啟用的每個憑證對應方法，直到成功為止。 Schannel 會先嘗試對應 Service-For-User-To-Self (S4U2Self) 對應。 主體/簽發者、簽發者和 UPN 憑證對應現在被視為弱，預設已停用。 所選選項的位遮罩總和會決定可用的憑證對映方法清單。

SChannel 登錄機碼預設值為 0x1F，現在已0x18。 如果您在使用 Schannel 型伺服器應用程式時遇到驗證失敗，建議您執行測試。 在網域控制站上新增或修改 CertificateMappingMethods 登錄機碼值，並將它設定為 0x1F，看看是否能解決問題。 如需詳細資訊，請在網域控制站上的系統事件記錄檔中查看本文中列出的任何錯誤。 請記住，將 SChannel 登錄機碼值變更回先前的預設 (0x1F) 將還原為使用弱式憑證對應方法。

登錄子機碼	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel
值	憑證對應方法
資料類型	DWORD
資料	0x0001 - 主體/簽發者憑證對應 (弱 – 預設為停用) 0x0002 - 簽發者憑證對應 (弱 – 預設為停用) 0x0004 - UPN 憑證對應 (弱 – 預設為停用) 0x0008 - S4U2自我憑證對應 (強) 0x0010 - S4U2自明確憑證對應 (強)
需要重新啟動嗎？	否

如需其他資源和支援，請參閱「其他資源」一節。

安裝解決 CVE-2022-26931 和 CVE-2022-26923 的更新後，如果使用者憑證早於使用者建立時間，驗證可能會失敗。 當您在環境中使用弱 式憑證對應 ，且憑證時間在設定範圍內的使用者建立時間之前時，此登錄機碼可允許成功進行驗證。 此登錄機碼不會影響具有強式憑證對應的使用者或電腦，因為憑證時間和使用者建立時間不會使用強式憑證對應進行檢查。 當 StrongCertificateBindingEnforcement 設定為 2 時，此登錄機碼沒有任何作用。

使用此登錄機碼是需要它的環境的暫時解決方法，必須謹慎執行。 使用此登錄機碼表示您的環境具有下列內容：

• 此登錄機碼僅適用於從 2022 年 5 月 10 日發行的更新開始的 相容模式 。 將允許在回溯補償偏移內進行驗證，但會記錄弱繫結的事件記錄警告。

• 啟用此登錄機碼可允許在憑證時間早於設定範圍內的使用者建立時間時進行使用者驗證，作為弱對應。 安裝 2025 年 9 月或之後發行的 Windows 更新後，將不支援弱對應。

登錄子機碼	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
值	憑證回溯補償
資料類型	REG_DWORD
資料	以大約年份為單位的因應措施值： 50 年：0x5E0C89C0 25 歲：0x2EFE0780 10年：0x12CC0300 5年：0x9660180 3年：0x5A39A80 1年：0x1E13380 附註 如果您知道環境中憑證的存留期，請將此登錄機碼設定為略長於憑證存留期。  如果您不知道環境的憑證存留期，請將此登錄機碼設定為 50 年。 當此金鑰不存在時，預設為 10 分鐘，這符合 Active Directory 憑證服務 (ADCS) 。 最大值為 50 年 (0x5E0C89C0) 。 此金鑰會設定金鑰發佈中心 (KDC) 將忽略驗證憑證簽發時間與使用者/電腦帳戶帳戶建立帳戶時間之間的時間差異 （以秒為單位）。 重要 只有在您的環境需要時，才設定此登錄機碼。 使用此登錄機碼會停用安全性檢查。
需要重新啟動嗎？	否

您可以執行下列 certutil 命令，以排除 使用者 範本的憑證，使其無法取得新的延伸模組。

1. 使用企業系統管理員或對等認證登入憑證授權單位伺服器或已加入網域的 Windows 10 用戶端。

2. 開啟命令提示字元，然後選擇以 系統管理員身分執行。

3. 執行 certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000。 

停用此擴充功能的新增功能將會移除新擴充功能所提供的保護。 請考慮僅在執行下列其中一項之後執行此動作：

1. 您確認對應的憑證不適用於 KDC 的 Kerberos 通訊協定驗證中的初始驗證 (PKINIT) 的公開金鑰加密

2. 對應的憑證已配置其他強式憑證對應

安裝 2022 年 5 月 10 日 Windows 更新之後，具有非 Microsoft CA 部署的環境將不會使用新的 SID 延伸模組來保護。 受影響的客戶應該與對應的 CA 廠商合作來解決此問題，或應該考慮使用上述其他強式憑證對應。 

如需其他資源和支援，請參閱「其他資源」一節。

不需要續訂。 CA 將以相容性模式出貨。 如果您想要使用 ObjectSID 延伸模組進行強式對應，您將需要新的憑證。

在 2025 年 2 月 11 日 Windows Update 中，尚未處於強制狀態 (StrongCertificateBindingEnforcement 登錄值設定為 2) 的裝置將會移至 [強制執行]。 如果驗證遭到拒絕，您會看到 Windows Server 2008 R2 SP1 和 Windows Server 2008 SP2) 的事件標識碼 39 (或事件標識碼 41。 在此階段，您可以選擇將註冊表機碼值設定回 1 (相容模式) 。

在 2025 年 9 月 10 日 Windows 更新中，將不再支援 StrongCertificateBindingEnforcement 登錄值。 ​​​​​​​