на DC настроил подпись SMB пакетов через GPO, не добавляется XP в домен
Все привет. нужна ваша помощь. В тестовой среде поднял домен на WINDOWS 2008R2 + DNS + DHCP + ADCS
Создал ГП, настройки в скрине Файл 152043. После применении ГП на КД не возможно завести в домен XP-ху ошибка: не корректное имя Файл 152044, Windows 7 добавляется без проблем. Возвращаю в ГП настройки обратно в "не установлено", но хп так и не добавляется в домен. Хотелось бы понять в чем проблема? |
Цитата:
Например, у вас в параметре Network security: Configure encryption types allowed for Kerberos разрешены только AES128_HMAC_SHA1 и AES256_HMAC_SHA1, а они не поддерживаются в XP. |
Цитата:
Скрытый текст
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_RC4_128_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384 TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_CBC_SHA TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 TLS_DHE_DSS_WITH_AES_256_CBC_SHA TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA TLS_RSA_WITH_RC4_128_MD5 SSL_CK_RC4_128_WITH_MD5 SSL_CK_DES_192_EDE3_CBC_WITH_MD5 TLS_RSA_WITH_NULL_SHA256 TLS_RSA_WITH_NULL_SHA Но это тоже не помогло. а вот где меняется в реестре параметры подписывания SMB, на MS говорится что в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters параметр EnableSecuritySignature 1-вкл. 0-отк посмотрел на рабочем КД этот параметр, стоит 1, но проблем со вводом ХР в домен нет. |
Цитата:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters Цитата:
|
Цитата:
Цитата:
RequireSecuritySignature=0 Так в продуктиве, тоже самое сделал но без результатно |
Цитата:
Цитата:
|
Цитата:
Остался вопрос в каком случае создается этот ключ в реестре? Вроде в ГП никаких настроек керберос не трогал. |
ejik_off, так параметр SupportedEncryptionTypes и соответствует политике Network security: Configure encryption types allowed for Kerberos.
|
Цитата:
|
Время: 12:48. |
Время: 12:48.
© OSzone.net 2001-