Table of contents
TOC
De inhoudsopgave samenvouwen
De inhoudsopgave uitvouwen

Wat is nieuw in Kerberos-verificatie

Justin Hall|Laatst bijgewerkt: 6-12-2016
|
1 Inzender

Van toepassing op: Windows Server 2016 en Windows 10

KDC ondersteuning voor openbare sleutel vertrouwt gebaseerde client-verificatie

Beginnen met Windows Server 2016, ondersteuning KDCs voor een manier van publieke toets koppelen. Als de openbare sleutel is voorzien voor een account, klik met de KDC Kerberos PKInit expliciet met behulp van die sleutel ondersteunt. Omdat er nog geen certificaat heeft, certificaten worden ondersteund en verificatie mechanisme zekerheid wordt niet ondersteund.

Toets vertrouwen heeft de voorkeur wanneer geconfigureerd voor een account, ongeacht de instelling UseSubjectAltName.

Ondersteuning voor PKInit vaker te laten vernieuwen uitbreidingsmodule Kerberos-client en KDC

U begint met Windows 10, versie 1507 en Windows Server 2016, Kerberos clients proberen de PKInit vaker te laten vernieuwen uitbreidingsmodule voor openbare sleutel op basis van teken-onderdelen.

Beginnen met Windows Server 2016, kan KDCs de uitbreidingsmodule die PKInit vaker te laten vernieuwen ondersteunen. Standaard biedt KDCs niet de uitbreidingsmodule die PKInit vaker te laten vernieuwen. Gebruik de nieuwe KDC-ondersteuning voor PKInit vaker te laten vernieuwen uitbreidingsmodule KDC administravie sjabloon voor het instellen van alle DCs in het domein inschakelen. Wanneer ingeschakeld, worden de volgende opties worden ondersteund:

  • Uitgeschakeld: de KDC zal nooit biedt de uitbreidingsmodule die PKInit vaker te laten vernieuwen en geldig verificatieaanvragen accepteren zonder door te controleren op vaker te laten vernieuwen. Gebruikers van ontvangen de nieuwe openbare toets identiteit SID nooit.
  • Ondersteunde: PKInit vaker te laten vernieuwen uitbreidingsmodule op verzoek wordt ondersteund. Kerberos clients is verificatie met de uitbreidingsmodule die PKInit vaker te laten vernieuwen krijgt de nieuwe openbare toets identiteit SID.
  • Vereist: PKInit vaker te laten vernieuwen uitbreidingsmodule is vereist voor succesvolle verificatie. Kerberos clients die de uitbreidingsmodule die PKInit vaker te laten vernieuwen niet ondersteunen, altijd niet bij het gebruik van openbare toets referenties wordt gevraagd.

Een domein behoren-apparaat ondersteuning voor met openbare sleutel-verificatie

U begint met Windows 10 versie 1507 en Windows Server 2016 als een apparaat met een domein behoren de afhankelijk openbare sleutel registreren in een Windows Server 2016 domeincontroller (DC), vervolgens het apparaat kan worden geverifieerd met de openbare sleutel met behulp van een Windows Server 2016 DC Kerberos-verificatie.

Als het apparaat geen ondersteuning biedt voor een manier om een afhankelijk openbare sleutel te genereren, wordt alleen wachtwoord ondersteund.

Standaard worden apparaten eerst het publiek en de mogelijke wachtwoord gebruiken. Dit kan het apparaat om eerdere DCs te verifiëren.

Als de instelling voor groepsbeleid ondersteuning voor apparaat verificatie met certificaat is ingesteld op kracht, en vervolgens het apparaat moet een DC die wordt uitgevoerd van Windows Server 2016 zoeken of hoger om te verifiëren. Als het beleid is uitgeschakeld, wordt het wachtwoord altijd gebruikt. De instelling is onder worden opgeslagen > systeem > Kerberos.

Kerberos clients toestaan IPv4 en IPv6 host-adres namen in Service Principal's (Names)

Beginnen met Windows 10, versie 1507 en Windows Server 2016, worden Kerberos clients geconfigureerd voor de ondersteuning van IPv4 en IPv6 host-namen in SPN's.

Via pad:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters

Als u wilt configureren ondersteuning voor IP-adres host-namen in SPN's, een TryIPSPN-vermelding te maken. Standaard is deze vermelding niet in het register opgenomen. Nadat u de vermelding hebt gemaakt, moet u de DWORD-waarde wijzigen op 1. Als u niet geconfigureerd, worden niet IP-adres host-namen geprobeerd.

Als de NAME is geregistreerd in actieve map, wordt de verificatie met Kerberos mislukt.

KDC-ondersteuning voor zowel UPN en onderwerp alternatieve namen (SAN)

Beginnen met Windows Server 2016, hebben domian controllers ondersteuning voor sleutel vertrouwt accounts koppelen, evenals gebruik AltSecID als er een gebruiker belangrijkste naam (UPN) in het SAN. Wanneer UseSubjectAltName is ingesteld op:

  • 0: expliciet koppelen is vereist. Er moet een:
    • Toets vertrouwt (nieuwe met Windows Server 2016)
    • ExplicitAltSecID
  • 1: impliciet koppelen is toegestaan (standaard):
    1. Als sleutel vertrouwt is geconfigureerd voor account, wordt het gebruikt voor het omzetten van (nieuwe met Windows Server 2016).
    2. Als er geen UPN in het SAN, wordt de AltSecID voor het omzetten van geprobeerd.
    3. Als er een UPN in het SAN, wordt de UPN voor het omzetten van geprobeerd.

Zie ook

© 2017 Microsoft