What's New in Kerberos Authentication
適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016 和 Windows 10
公開金鑰信任型用戶端驗證的 KDC 支援
從 Windows Server 2016 開始,KDC 支援公開金鑰對應的方式。 如果為帳戶佈建公開金鑰,則 KDC 會使用該金鑰明確支援 Kerberos PKInit。 由於沒有憑證驗證,因此支援自我簽署憑證,且不支援驗證機制保證。
不論 UseSubjectAltName 設定為何,針對帳戶設定金鑰信任是慣用的。
RFC 8070 PKInit Freshness Extension 的 Kerberos 用戶端和 KDC 支援
從 Windows 10 版本 1607 和 Windows Server 2016 開始,Kerberos 用戶端會針對公開金鑰型登入嘗試 RFC 8070 PKInit 有效延伸。
從 Windows Server 2016 開始,KDC 可以支援 PKInit 有效延伸。 根據預設,KDC 不會提供 PKInit 有效延伸。 若要啟用它,請在網域中的所有 DC 上使用 PKInit Freshness Extension KDC 系統管理範本原則設定的新 KDC 支援。 設定時,當網域為 Windows Server 2016 網域功能等級時,支援下列選項:
- 已停用:KDC 絕不會提供 PKInit 有效延伸功能,並接受有效的驗證要求,而不需要檢查是否有效。 使用者永遠不會收到新的公開金鑰身分識別 SID。
- 支援:要求支援 PKInit 有效延伸。 Kerberos 用戶端成功使用 PKInit 有效延伸進行驗證時,將會收到全新的公開金鑰身分識別 SID。
- 必要:成功驗證需要 PKInit 有效延伸。 不支援 PKInit 有效延伸的 Kerberos 用戶端在使用公開金鑰認證時一律會失敗。
加入網域的裝置支援使用公開金鑰進行驗證
從 Windows 10 版本 1507 和 Windows Server 2016 開始,如果已加入網域的裝置能夠向 Windows Server 2016 網域控制站 (DC) 登錄其繫結公開金鑰,則裝置可以使用 Kerberos 驗證向 Windows Server 2016 DC 進行公開金鑰驗證。 如需詳細資訊,請參閱加入網域的裝置公開金鑰驗證
Kerberos 用戶端允許在服務主體名稱 (SPN) 中使用 IPv4 和 IPv6 位址主機名稱
從 Windows 10 版本 1507 和 Windows Server 2016 開始,Kerberos 用戶端可以設定為支援在 SPN 中使用 IPv4 和 IPv6 主機名稱。
登錄路徑:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
若要設定在 SPN 中使用 IP 位址主機名稱的支援,請建立 TryIPSPN 項目。 此項目依預設不存在於登錄中。 建立項目之後,請將 DWORD 值變更為 1。 如果未設定,則不會嘗試 IP 位址主機名稱。
如果 SPN 已在 Active Directory 註冊,則使用 Kerberos 進行驗證會成功。
如需詳細資訊,請參閱文件為 IP 位址設定 Kerberos。
適用於金鑰信任帳戶對應的 KDC 支援
從 Windows Server 2016 開始,網域控制站支援金鑰信任帳戶對應,以及 SAN 行為中現有 AltSecID 和使用者主體名稱 (UPN) 的後援。 當 UseSubjectAltName 設定為:
- 0:需要明確對應。 然後必須有下列其中一項:
- 金鑰信任 (Windows Server 2016 的新功能)
- ExplicitAltSecID
- 1:允許隱含對應 (預設值):
- 如果金鑰信任已針對帳戶進行設定,則會用於對應 (Windows Server 2016 的新功能)。
- 如果 SAN 中沒有 UPN,則會嘗試 AltSecID 對應。
- 如果 SAN 中有 UPN,則會嘗試 UPN 對應。