Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   [решено] на DC настроил подпись SMB пакетов через GPO, не добавляется XP в домен (http://forum.oszone.net/showthread.php?t=334154)

ejik_off 05-04-2018 09:54 2807113
на DC настроил подпись SMB пакетов через GPO, не добавляется XP в домен
 
Все привет. нужна ваша помощь. В тестовой среде поднял домен на WINDOWS 2008R2 + DNS + DHCP + ADCS
Создал ГП, настройки в скрине Файл 152043. После применении ГП на КД не возможно завести в домен XP-ху ошибка: не корректное имя Файл 152044, Windows 7 добавляется без проблем.
Возвращаю в ГП настройки обратно в "не установлено", но хп так и не добавляется в домен. Хотелось бы понять в чем проблема?

Petya V4sechkin 05-04-2018 10:52 2807123
Цитата:
Цитата ejik_off
Возвращаю в ГП настройки обратно в "не установлено", но хп так и не добавляется в домен.
Потому что те параметры, которые относятся к политикам безопасности, не возвращаются на исходные значения.

Например, у вас в параметре Network security: Configure encryption types allowed for Kerberos разрешены только AES128_HMAC_SHA1 и AES256_HMAC_SHA1, а они не поддерживаются в XP.

ejik_off 05-04-2018 11:29 2807127
Цитата:
Цитата Petya V4sechkin
Например, у вас в параметре Network security: Configure encryption types allowed for Kerberos разрешены только AES128_HMAC_SHA1 и AES256_HMAC_SHA1, а они не поддерживаются в XP. »
эти настройки меняются в реестре, я вернул их. Т.е в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002 Functions перечислены алгоритмы по умолчанию:
Скрытый текст
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_RC4_128_MD5
SSL_CK_RC4_128_WITH_MD5
SSL_CK_DES_192_EDE3_CBC_WITH_MD5
TLS_RSA_WITH_NULL_SHA256
TLS_RSA_WITH_NULL_SHA

Но это тоже не помогло.
а вот где меняется в реестре параметры подписывания SMB, на MS говорится что в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters параметр EnableSecuritySignature 1-вкл. 0-отк
посмотрел на рабочем КД этот параметр, стоит 1, но проблем со вводом ХР в домен нет.

Petya V4sechkin 05-04-2018 11:58 2807133
Цитата:
Цитата ejik_off
эти настройки меняются в реестре, я вернул их.
Посмотрите, что в ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters

Цитата:
Цитата ejik_off
а вот где меняется в реестре параметры подписывания SMB
Две пары:
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
    • EnableSecuritySignature
    • RequireSecuritySignature
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
    • EnableSecuritySignature
    • RequireSecuritySignature

ejik_off 05-04-2018 12:05 2807136
Цитата:
Цитата Petya V4sechkin
Посмотрите, что в ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters »
supportedencryptiontypes = 18

Цитата:
Цитата Petya V4sechkin
Две пары:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
EnableSecuritySignature
RequireSecuritySignature
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
EnableSecuritySignature
RequireSecuritySignature »
EnableSecuritySignature=1
RequireSecuritySignature=0
Так в продуктиве, тоже самое сделал но без результатно

Petya V4sechkin 05-04-2018 12:20 2807143
Цитата:
Цитата ejik_off
supportedencryptiontypes = 18
Вот его и удалите.

Цитата:
Цитата ejik_off
и все должны =1?
Нет, по умолчанию на клиентах (в XP в том числе) так:
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
    • EnableSecuritySignature = 0
    • RequireSecuritySignature = 0
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
    • EnableSecuritySignature = 1
    • RequireSecuritySignature = 0

ejik_off 05-04-2018 12:31 2807148
Цитата:
Цитата Petya V4sechkin
Вот его и удалите. »
Удалил. ХП зашел в домен. Спасибо за помощь!!!!
Остался вопрос в каком случае создается этот ключ в реестре? Вроде в ГП никаких настроек керберос не трогал.

Petya V4sechkin 05-04-2018 12:48 2807152
ejik_off, так параметр SupportedEncryptionTypes и соответствует политике Network security: Configure encryption types allowed for Kerberos.

ejik_off 05-04-2018 13:42 2807172
Цитата:
Цитата Petya V4sechkin
ejik_off, так параметр SupportedEncryptionTypes и соответствует политике Network security: Configure encryption types allowed for Kerberos. »
Тьфу блин... Точно! Спасибо


Время: 12:48.

Время: 12:48.
© OSzone.net 2001-