目次
本記事について
本記事は、2020年11月の更新プログラムを適用すると、Kerberos認証に問題が生じた件を記載したものです。
2020年11月の更新プログラムについては、こちらを参考にしてください。
概要
企業のネットワーク環境において、ドメイン コントローラー (DC) および読み取り専用ドメイン コントローラー (RODC) にをインストールした後、11月のWindows Updateを適用すると、Kerberos 認証の問題が生じていることが報告されています。
これは、脆弱性である「CVE-2020-17049」に関する修正が原因です。脆弱性を修正するための「 PerformTicketSignature」のレジストリ設定値がありますが、問題が発生する可能性があります。
対象
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
問題のある設定値
問題のあるレジストリ値は以下の内容です。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc
値:0
値を 0 に設定すると、スケジュールされたタスク、クラスタリング、基幹業務アプリケーションなどのサービスを使用する場合に認証の問題が発生することがあります。
値:1
既定値の 1 を設定すると、Windows 以外のクライアントが Kerberos を使用して Windows ドメインに認証を行い、認証の問題が発生する可能性があります。
設定 1 を使用すると、11月のWindows Updateで更新された DC にて、 更新可能なはずのKerberosチケットを更新しようとしたクライアントは、Windows Server 2008 R2 SP1またはWindows Server 2008 SP2を実行しているDCから発行された場合、Kerberosチケットの更新に失敗します。
値を0 から 1 に変更すると、未処理の Kerberos チケットの問題が発生します。
既定値が 1 の場合、11月のWindows Updateを適用したDC、または Windows Server 2008 R2 SP1 または Windows Server 2008 SP2 にて、ドメイン間での信頼関係を構築している場合、認証の問題が発生します。
値:2
値を 2 に設定すると、強制モードという意味合いで、特定の種類の非準拠 Kerberos チケットを明示的に拒否するため、すべての DC が更新されない環境で問題が発生します。
また、Windows Server 2008 R2 SP1 または Windows Server 2008 SP2 を実行している DC が環境に含まれている場合は設定値2を利用しないことをMicrosoft社が推奨しています。
修正パッチ配信
修正パッチが2020年11月19日に配信されました。
詳しくはこちらを参考にしてください。
更新履歴
2020年11月17日 初版作成
2020年11月19日 修正パッチについて記載