[решено] на DC настроил подпись SMB пакетов через GPO, не добавляется XP в домен [Версия для КПК]

Показать полную графическую версию : [решено] на DC настроил подпись SMB пакетов через GPO, не добавляется XP в домен

ejik_off

05-04-2018, 09:54

Все привет. нужна ваша помощь. В тестовой среде поднял домен на WINDOWS 2008R2 + DNS + DHCP + ADCS
Создал ГП, настройки в скрине 152043. После применении ГП на КД не возможно завести в домен XP-ху ошибка: не корректное имя 152044, Windows 7 добавляется без проблем.
Возвращаю в ГП настройки обратно в "не установлено", но хп так и не добавляется в домен. Хотелось бы понять в чем проблема?

Petya V4sechkin

05-04-2018, 10:52

Возвращаю в ГП настройки обратно в "не установлено", но хп так и не добавляется в домен.
Потому что те параметры, которые относятся к политикам безопасности, не возвращаются на исходные значения.

Например, у вас в параметре Network security: Configure encryption types allowed for Kerberos разрешены только AES128_HMAC_SHA1 и AES256_HMAC_SHA1, а они не поддерживаются в XP.

ejik_off

05-04-2018, 11:29

Например, у вас в параметре Network security: Configure encryption types allowed for Kerberos разрешены только AES128_HMAC_SHA1 и AES256_HMAC_SHA1, а они не поддерживаются в XP. »
эти настройки меняются в реестре, я вернул их. Т.е в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002 Functions перечислены алгоритмы по умолчанию:
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_RC4_128_MD5
SSL_CK_RC4_128_WITH_MD5
SSL_CK_DES_192_EDE3_CBC_WITH_MD5
TLS_RSA_WITH_NULL_SHA256
TLS_RSA_WITH_NULL_SHA
Но это тоже не помогло.
а вот где меняется в реестре параметры подписывания SMB, на MS говорится что в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters параметр EnableSecuritySignature 1-вкл. 0-отк
посмотрел на рабочем КД этот параметр, стоит 1, но проблем со вводом ХР в домен нет.

Petya V4sechkin

05-04-2018, 11:58

эти настройки меняются в реестре, я вернул их.
Посмотрите, что в ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters

а вот где меняется в реестре параметры подписывания SMB
Две пары:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
EnableSecuritySignature
RequireSecuritySignature
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
EnableSecuritySignature
RequireSecuritySignature

ejik_off

05-04-2018, 12:05

Посмотрите, что в ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters »
supportedencryptiontypes = 18

Две пары:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
EnableSecuritySignature
RequireSecuritySignature
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
EnableSecuritySignature
RequireSecuritySignature »
EnableSecuritySignature=1
RequireSecuritySignature=0
Так в продуктиве, тоже самое сделал но без результатно

Petya V4sechkin

05-04-2018, 12:20

supportedencryptiontypes = 18
Вот его и удалите.

и все должны =1?
Нет, по умолчанию на клиентах (в XP в том числе) так:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
EnableSecuritySignature = 0
RequireSecuritySignature = 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
EnableSecuritySignature = 1
RequireSecuritySignature = 0

ejik_off

05-04-2018, 12:31

Вот его и удалите. »
Удалил. ХП зашел в домен. Спасибо за помощь!!!!
Остался вопрос в каком случае создается этот ключ в реестре? Вроде в ГП никаких настроек керберос не трогал.

Petya V4sechkin

05-04-2018, 12:48

ejik_off, так параметр SupportedEncryptionTypes и соответствует политике Network security: Configure encryption types allowed for Kerberos.

ejik_off

05-04-2018, 13:42

ejik_off, так параметр SupportedEncryptionTypes и соответствует политике Network security: Configure encryption types allowed for Kerberos. »
Тьфу блин... Точно! Спасибо