Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - [решено] на DC настроил подпись SMB пакетов через GPO, не добавляется XP в домен

Ответить
Настройки темы
2008 R2 - [решено] на DC настроил подпись SMB пакетов через GPO, не добавляется XP в домен

Аватара для ejik_off

Старожил


Сообщения: 435
Благодарности: 10

Профиль | Отправить PM | Цитировать


Все привет. нужна ваша помощь. В тестовой среде поднял домен на WINDOWS 2008R2 + DNS + DHCP + ADCS
Создал ГП, настройки в скрине gp.PNG. После применении ГП на КД не возможно завести в домен XP-ху ошибка: не корректное имя xp.PNG, Windows 7 добавляется без проблем.
Возвращаю в ГП настройки обратно в "не установлено", но хп так и не добавляется в домен. Хотелось бы понять в чем проблема?

Отправлено: 09:54, 05-04-2018

 


Moderator


Сообщения: 47762
Благодарности: 13506

Профиль | Отправить PM | Цитировать


Цитата ejik_off:
Возвращаю в ГП настройки обратно в "не установлено", но хп так и не добавляется в домен.
Потому что те параметры, которые относятся к политикам безопасности, не возвращаются на исходные значения.

Например, у вас в параметре Network security: Configure encryption types allowed for Kerberos разрешены только AES128_HMAC_SHA1 и AES256_HMAC_SHA1, а они не поддерживаются в XP.

Отправлено: 10:52, 05-04-2018 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для ejik_off

Старожил


Сообщения: 435
Благодарности: 10

Профиль | Отправить PM | Цитировать


Цитата Petya V4sechkin:
Например, у вас в параметре Network security: Configure encryption types allowed for Kerberos разрешены только AES128_HMAC_SHA1 и AES256_HMAC_SHA1, а они не поддерживаются в XP. »
эти настройки меняются в реестре, я вернул их. Т.е в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002 Functions перечислены алгоритмы по умолчанию:
Скрытый текст
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_RC4_128_MD5
SSL_CK_RC4_128_WITH_MD5
SSL_CK_DES_192_EDE3_CBC_WITH_MD5
TLS_RSA_WITH_NULL_SHA256
TLS_RSA_WITH_NULL_SHA

Но это тоже не помогло.
а вот где меняется в реестре параметры подписывания SMB, на MS говорится что в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters параметр EnableSecuritySignature 1-вкл. 0-отк
посмотрел на рабочем КД этот параметр, стоит 1, но проблем со вводом ХР в домен нет.

Отправлено: 11:29, 05-04-2018 | #3



Moderator


Сообщения: 47762
Благодарности: 13506

Профиль | Отправить PM | Цитировать


Цитата ejik_off:
эти настройки меняются в реестре, я вернул их.
Посмотрите, что в ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters

Цитата ejik_off:
а вот где меняется в реестре параметры подписывания SMB
Две пары:
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
    • EnableSecuritySignature
    • RequireSecuritySignature
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
    • EnableSecuritySignature
    • RequireSecuritySignature

Отправлено: 11:58, 05-04-2018 | #4


Аватара для ejik_off

Старожил


Сообщения: 435
Благодарности: 10

Профиль | Отправить PM | Цитировать


Цитата Petya V4sechkin:
Посмотрите, что в ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters »
supportedencryptiontypes = 18

Цитата Petya V4sechkin:
Две пары:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
EnableSecuritySignature
RequireSecuritySignature
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
EnableSecuritySignature
RequireSecuritySignature »
EnableSecuritySignature=1
RequireSecuritySignature=0
Так в продуктиве, тоже самое сделал но без результатно

Последний раз редактировалось ejik_off, 05-04-2018 в 12:19.


Отправлено: 12:05, 05-04-2018 | #5



Moderator


Сообщения: 47762
Благодарности: 13506

Профиль | Отправить PM | Цитировать


Цитата ejik_off:
supportedencryptiontypes = 18
Вот его и удалите.

Цитата ejik_off:
и все должны =1?
Нет, по умолчанию на клиентах (в XP в том числе) так:
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
    • EnableSecuritySignature = 0
    • RequireSecuritySignature = 0
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
    • EnableSecuritySignature = 1
    • RequireSecuritySignature = 0
Это сообщение посчитали полезным следующие участники:

Отправлено: 12:20, 05-04-2018 | #6


Аватара для ejik_off

Старожил


Сообщения: 435
Благодарности: 10

Профиль | Отправить PM | Цитировать


Цитата Petya V4sechkin:
Вот его и удалите. »
Удалил. ХП зашел в домен. Спасибо за помощь!!!!
Остался вопрос в каком случае создается этот ключ в реестре? Вроде в ГП никаких настроек керберос не трогал.

Отправлено: 12:31, 05-04-2018 | #7



Moderator


Сообщения: 47762
Благодарности: 13506

Профиль | Отправить PM | Цитировать


ejik_off, так параметр SupportedEncryptionTypes и соответствует политике Network security: Configure encryption types allowed for Kerberos.
Это сообщение посчитали полезным следующие участники:

Отправлено: 12:48, 05-04-2018 | #8


Аватара для ejik_off

Старожил


Сообщения: 435
Благодарности: 10

Профиль | Отправить PM | Цитировать


Цитата Petya V4sechkin:
ejik_off, так параметр SupportedEncryptionTypes и соответствует политике Network security: Configure encryption types allowed for Kerberos. »
Тьфу блин... Точно! Спасибо

Отправлено: 13:42, 05-04-2018 | #9



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - [решено] на DC настроил подпись SMB пакетов через GPO, не добавляется XP в домен

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
2013 - Запретить изменять подпись Outlook 2013 через GPO polosaty Microsoft Office (Word, Excel, Outlook и т.д.) 1 23-11-2017 15:35
2012 R2 - [решено] WS2012R2 DC + Windows 7 - применение параметров аудита через GPO. Ssky Windows Server 2012/2012 R2 1 12-12-2015 12:45
Установка MSI пакетов через GPO B_BOY_MIG Microsoft Windows NT/2000/2003 6 08-10-2014 09:57
Разное - [решено] не добавляется компьютер в домен Almest Microsoft Windows Vista 1 08-08-2013 12:25
2008 R2 - GPO-Scripts-Startup. Скрипт отработал на DC, а на клиенте не хочет PIL123 Windows Server 2008/2008 R2 0 02-07-2012 18:35




 
Переход