What's New in Kerberos Authentication
適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows 10
公開キー信頼ベースのクライアント認証に対する KDC のサポート
Windows Server 2016 以降、KDC は公開キー マッピングの方法をサポートしています。 公開キーがアカウントにプロビジョニングされている場合、KDC はそのキーを使用して Kerberos PKInit を明示的にサポートします。 証明書の検証がなく、自己署名証明書がサポートされるため、認証メカニズムの保証はサポートされません。
UseSubjectAltName 設定に関係なく、アカウントに構成されている場合は、キーの信頼が優先されます。
RFC 8070 PKInit Freshness 拡張機能の Kerberos クライアントと KDC のサポート
Windows 10 バージョン 1607 および Windows Server 2016 以降、Kerberos クライアントは公開キー ベースのサインオンに対して RFC 8070 PKInit Freshness 拡張機能を試行します。
Windows Server 2016 以降、KDC は PKInit Freshness 拡張機能をサポートできます。 既定では、KDC は PKInit Freshness 拡張機能を提供していません。 これを有効にするには、ドメイン内のすべてのDC で PKInit Freshness Extension KDC 管理用テンプレート ポリシー設定の新しい KDC サポートを使用します。 構成すると、ドメインが Windows Server 2016 ドメイン機能レベル (DFL) の場合、次のオプションがサポートされます。
- 無効: KDC は PKInit Freshness 拡張機能を提供せず、鮮度を確認せずに有効な認証要求を受け入れる必要があります。 ユーザーが新しい公開キー ID SID を受け取ることはありません。
- サポート済み: PKInit Freshness 拡張機能は要求に応じてサポートされています。 Kerberos クライアントが PKInit Freshness 拡張機能で正常に認証されると、新しい公開キー ID SID を受け取ります。
- 必須: 認証を成功させるには、PKInit Freshness 拡張機能が必要です。 PKInit Freshness 拡張機能をサポートしない Kerberos クライアントは、公開キー資格情報を使用すると常に失敗します。
公開キーを使用した認証に対するドメイン参加デバイスのサポート
Windows 10 バージョン 1507 および Windows Server 2016 以降、ドメイン参加デバイスがバインドされた公開キーを Windows Server 2016 ドメイン コントローラー (DC) に登録できる場合、デバイスは Windows Server 2016 DC への Kerberos 認証を使用して公開キーで認証できます。 詳細については、「ドメイン参加デバイスの公開キー認証」を参照してください。
Kerberos クライアントは、サービス プリンシパル名 (SPN) で IPv4 および IPv6 アドレスのホスト名を許可します。
Windows 10 バージョン 1507 および Windows Server 2016 以降、Kerberos クライアントは SPN で IPv4 および IPv6 のホスト名をサポートするように構成できます。
レジストリ パス:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
SPN で IP アドレス ホスト名のサポートを構成するには、TryIPSPN エントリを作成します。 既定では、このエントリはレジストリに存在しません。 エントリを作成したら、DWORD 値を 1 に変更します。 構成されていない場合、IP アドレスのホスト名は試行されません。
SPN が Active Directory に登録されている場合、認証は Kerberos で成功します。
詳細については、IP アドレス用 Kerberos の構成に関するドキュメントを参照してください。
キー信頼アカウント マッピングの KDC サポート
Windows Server 2016 以降、ドメイン コントローラーは、キー信頼アカウントのマッピングと、SAN の動作における既存の AltSecID およびユーザー プリンシパル名 (UPN) へのフォールバックをサポートしています。 UseSubjectAltName が次の値に設定されている場合:
- 0: 明示的なマッピングが必要です。 次に、次のいずれかが必要です。
- キーの信頼 (Windows Server 2016 の新機能)
- ExplicitAltSecID
- 1: 暗黙的なマッピングが許可されます (既定値)。
- キー信頼がアカウント用に構成されている場合は、マッピングに使用されます (Windows Server 2016 の新機能)。
- SAN に UPN がない場合は、AltSecID を試行してマッピングを行います。
- SAN に UPN がある場合は、UPN を試行してマッピングを行います。