Kerberos 認証の新機能What's New in Kerberos Authentication

適用対象: Windows Server 2016 および Windows 10Applies To: Windows Server 2016 and Windows 10

公開キーを信頼ベースのクライアント認証の KDC のサポートKDC support for Public Key Trust-based client authentication

Windows Server 2016 以降、Kdc は、公開キーのマッピングの方法をサポートします。Beginning with Windows Server 2016, KDCs support a way of public key mapping. アカウントの公開キーがプロビジョニングされた場合、KDC はそのキーを使用して明示的に Kerberos をサポートします。If the public key is provisioned for an account, then the KDC supports Kerberos PKInit explicitly using that key. 証明書の検証がないため、自己署名証明書がサポートされているし、認証メカニズム保証がサポートされていません。Since there is no certificate validation, self-signed certificates are supported and authentication mechanism assurance is not supported.

UseSubjectAltName 設定に関係なく、アカウントの構成されている場合、キーの信頼が適しています。Key Trust is preferred when configured for an account regardless of the UseSubjectAltName setting.

RFC 8070 を鮮度拡張機能の Kerberos クライアントと KDC のサポートします。Kerberos client and KDC support for RFC 8070 PKInit Freshness Extension

Windows 10 バージョン 1607 および Windows Server 2016 以降では、Kerberos クライアントと、RFC 8070 を鮮度拡張子公開キー ベースのサインオンします。Beginning with Windows 10, version 1607 and Windows Server 2016, Kerberos clients attempt the RFC 8070 PKInit freshness extension for public key based sign-ons.

Windows Server 2016 以降、Kdc を鮮度拡張機能をサポートできます。Beginning with Windows Server 2016, KDCs can support the PKInit freshness extension. 既定では、Kdc を鮮度拡張機能は提供されません。By default, KDCs do not offer the PKInit freshness extension. これを有効にするには、ドメイン内のすべての Dc 上を鮮度拡張子の KDC 管理用テンプレート ポリシー設定の新しい KDC のサポートを使用します。To enable it, use the new KDC support for PKInit Freshness Extension KDC administrative template policy setting on all the DCs in the domain. 構成すると、ドメインが Windows Server 2016 ドメインの機能レベル (DFL) に、次のオプションがサポートされます。When configured, the following options are supported when the domain is Windows Server 2016 domain functional level (DFL):

  • 無効になっている: [KDC を鮮度拡張機能を提供して確認鮮度をせずに有効な認証要求を受け入れることはありません。Disabled: The KDC never offers the PKInit Freshness Extension and accepts valid authentication requests without checking for freshness. ユーザーは、新しい公開キー ID SID を決して表示されます。Users will never receive the fresh public key identity SID.
  • サポートされている: で要求を鮮度拡張機能はサポートされています。Supported: PKInit Freshness Extension is supported on request. 鮮度拡張子を持つ認証が成功する Kerberos クライアントでは、新しい公開キー ID SID を受け取ります。Kerberos clients successfully authenticating with the PKInit Freshness Extension receive the fresh public key identity SID.
  • 必要な: を鮮度拡張子は認証が成功したために必要です。Required: PKInit Freshness Extension is required for successful authentication. 鮮度拡張機能をサポートしていない Kerberos クライアントは公開キーの資格情報を使用するときに常に失敗します。Kerberos clients that do not support the PKInit Freshness Extension will always fail when using public key credentials.

公開キーを使用して認証のドメインに参加しているデバイスのサポートDomain-joined device support for authentication using public key

以降で Windows 10 バージョン 1507 および Windows Server 2016 では、ドメインに参加しているデバイスが Windows Server 2016 ドメイン コントローラー (DC) でバインドされているその公開キーを登録できる場合、デバイス認証できる Windows Server 2016 の DC を Kerberos 認証を使用して公開キーを持つ。Beginning with Windows 10 version 1507 and Windows Server 2016, if a domain-joined device is able to register its bound public key with a Windows Server 2016 domain controller (DC), then the device can authenticate with the public key using Kerberos authentication to a Windows Server 2016 DC. 詳細については、次を参照してくださいデバイスの公開キー認証をドメインに参加している。For more information, see Domain-joined Device Public Key Authentication

Kerberos クライアントは、サービス プリンシパル名 (SPN) で IPv4 と IPv6 アドレスのホスト名を許可します。Kerberos clients allow IPv4 and IPv6 address hostnames in Service Principal Names (SPNs)

Windows 10 バージョン 1507 および Windows Server 2016 以降では、Kerberos クライアントは、SPN の IPv4 と IPv6 のホスト名をサポートするために構成できます。Beginning with Windows 10 version 1507 and Windows Server 2016, Kerberos clients can be configured to support IPv4 and IPv6 hostnames in SPNs.

レジストリのパス:Registry path:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\ParametersHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters

SPN の IP アドレスのホスト名のサポートを構成するには、TryIPSPN エントリを作成します。To configure support for IP address hostnames in SPNs, create a TryIPSPN entry. 既定では、このエントリはレジストリに存在しません。This entry does not exist in the registry by default. エントリを作成した後、DWORD 値を 1 に変更します。After you have created the entry, change the DWORD value to 1. 構成しなかった場合、IP アドレスのホスト名は行われません。If not configured, IP address hostnames are not attempted.

Active Directory の SPN が登録されている、kerberos 認証が成功しました。If the SPN is registered in Active Directory, then authentication succeeds with Kerberos.

KDC でキーの信頼アカウントへのマッピングをサポートします。KDC support for Key Trust account mapping

Windows Server 2016 以降では、ドメイン コントローラーは、SAN の動作にフォールバックする既存の AltSecID およびユーザー プリンシパル名 (UPN) とキーの信頼アカウントへのマッピングがサポートされています。Beginning with Windows Server 2016, domain controllers have support for Key Trust account mapping as well as fallback to existing AltSecID and User Principal Name (UPN) in the SAN behavior. UseSubjectAltName に設定すると。When UseSubjectAltName is set to:

  • 0: 明示的なマッピングが必要です。0: Explicit mapping is required. 必要になりますか。Then there must be either:
    • (Windows Server 2016) で新しいキーを信頼Key Trust (new with Windows Server 2016)
    • ExplicitAltSecIDExplicitAltSecID
  • 1: 暗黙的なマッピングが (既定) を許可します。1: Implicit mapping is allowed (default):
    1. アカウントのキーの信頼を構成し、それが使用マッピングの (Windows Server 2016 の新機能) されます。If Key Trust is configured for account, then it is used for mapping (new with Windows Server 2016).
    2. SAN の UPN がない場合は、マッピングの AltSecID が試行されます。If there is no UPN in the SAN, then AltSecID is attempted for mapping.
    3. SAN に UPN がある場合は、マッピングの UPN が試行されました。If there is a UPN in the SAN, then UPN is attempted for mapping.

参照してください。See Also