What's New in Kerberos Authentication
Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016 und Windows 10
KDC-Unterstützung für die auf Vertrauensstellungen mit öffentlichem Schlüssel basierende Clientauthentifizierung
Ab Windows Server 2016 unterstützen KDCs eine Art der Zuordnung von öffentlichen Schlüsseln. Wenn der öffentliche Schlüssel für ein Konto bereitgestellt wird, unterstützt der KDC-Dienst Kerberos PKInit explizit Verwendung dieses Schlüssels. Da es keine Zertifikatüberprüfung gibt, werden selbstsignierte Zertifikate unterstützt, und der Authentifizierungsmechanismus wird nicht unterstützt.
Die Schlüsselvertrauensstellung wird bevorzugt, wenn sie unabhängig von der Einstellung „UseSubjectAltName“ für ein Konto konfiguriert wird.
Kerberos-Client- und KDC-Unterstützung für RFC 8070 PKInit Freshness Extension
Ab Windows 10 (Version 1607) und Windows Server 2016 verwenden Kerberos-Clients die RFC 8070 PKInit Freshness Extension für Anmeldungen mit öffentlichem Schlüssel.
Ab Windows Server 2016 unterstützen KDCs die PKInit Freshness Extension. Standardmäßig bieten KDCs die PKInit Freshness Extension nicht an. Um diese zu aktivieren, verwenden Sie die neue KDC-Unterstützung für die Richtlinieneinstellung für administrative Vorlagen „PKInit Freshness Extension“ auf allen DCs in der Domäne. Wenn sie konfiguriert sind, werden die folgenden Optionen unterstützt, wenn die Domäne der Domänenfunktionsebene (Domain Functional Level, DFL) von Windows Server 2016 entspricht:
- Deaktiviert: Der KDC-Dienst bietet die PKInit Freshness Extension nie an und akzeptiert gültige Authentifizierungsanforderungen ohne Überprüfung der Aktualität. Die Benutzer*innen erhalten niemals die aktuelle SID des öffentlichen Schlüssels.
- Unterstützt: Die PKInit Freshness Extension wird auf Anfrage unterstützt. Kerberos-Clients, die sich erfolgreich bei der PKInit Freshness Extension authentifizieren, erhalten die aktuelle SID der öffentlichen Schlüsselidentität.
- Erforderlich: Die PKInit Freshness Extension ist für eine erfolgreiche Authentifizierung erforderlich. Bei Kerberos-Clients, die die PKInit Freshness Extension nicht unterstützen, tritt bei der Verwendung von Anmeldeinformationen in Form eines öffentlichen Schlüssels immer ein Fehler auf.
Unterstützung der Authentifizierung mit öffentlichen Schlüsseln für in eine Domäne eingebundene Geräte
Ab Windows 10 (Version 1507) und Windows Server 2016 kann ein in eine Domäne eingebundenes Gerät, das seinen gebundenen öffentlichen Schlüssel bei einem Windows Server 2016-Domänencontroller (DC) registrieren kann, sich mit dem öffentlichen Schlüssel über die Kerberos-Authentifizierung bei einem Windows Server 2016-DC authentifizieren. Weitere Informationen finden Sie unter Public Key Authentication für Geräte in einer Domäne.
Kerberos-Clients unterstützen IPv4- und IPv6-Adresshostnamen in Dienstprinzipalnamen (SPNs)
Ab Windows 10 (Version 1507) und Windows Server 2016 können Kerberos-Clients so konfiguriert werden, dass IPv4- und IPv6-Hostnamen in SPNs unterstützt werden.
Registrierungspfad:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Zum Konfigurieren der Unterstützung für IP-Adresshostnamen in SPNs erstellen Sie einen TryIPSPN-Eintrag. Dieser Eintrag ist nicht standardmäßig in der Registrierung vorhanden. Nachdem Sie den Eintrag erstellt haben, ändern Sie den DWORD-Wert in 1. Wenn sie nicht konfiguriert sind, wird nicht versucht, IP-Adresshostnamen zu verwenden.
Wenn der SPN in Active Directory registriert ist, ist die Authentifizierung mit Kerberos erfolgreich.
Weitere Informationen finden Sie im Dokument Konfigurieren von Kerberos für IP-Adressen.
KDC-Unterstützung für die Zuordnung von Schlüsselvertrauensstellungskonten
Ab Windows Server 2016 unterstützen Domänencontroller die Zuordnung von Schlüsselvertrauensstellungskonten sowie das Fallback auf vorhandene AltSecID- und Benutzerprinzipalnamen (User Principal Name, UPN) im SAN-Verhalten. Wenn „UseSubjectAltName“ auf Folgendes festgelegt ist, gilt:
- 0: Eine explizite Zuordnung ist erforderlich. In diesem Fall muss Folgendes vorhanden sein:
- Eine Schlüsselvertrauensstellung (neu ab Windows Server 2016)
- ExplicitAltSecID
- 1: Implizite Zuordnungen sind zulässig (Standardeinstellung):
- Wenn die Schlüsselvertrauensstellung für das Konto konfiguriert ist, wird sie für die Zuordnung verwendet (neu ab Windows Server 2016).
- Wenn kein UPN im SAN vorhanden ist, wird versucht, „AltSecID“ zuzuordnen.
- Wenn im SAN ein UPN vorhanden ist, wird versucht, den UPN zuzuordnen.