none
Kerberos overovani a nemoznost prihlaseni do Win7+

    Dotaz

  • Zdravicko,

    minuly rok jsme povysili domenu z 2003 na 2016. Od te doby jsme si zacali vsimat, ze dochazi u atributu pocitacu (msDS-SupportedEncryptionTypes) k pravidelnym  zmenam mezi hodnotou 7 a 28.

    7 nastavujeme my pomoci domain policy (stara policy jeste z domeny 2003). Jde o vynuceni overovani pomoci DES+RC4

    Nova domena vsak distribuuje ( a my nemuzeme najit odkud) hodnotu 28 (0x1c), cili RC4+AES128+AES256. Logicky se tak snazi zvysit uroven zabezpeceni pomoci kerberos overovani a zabranit pouziti DES autentizace.

    A ted k problemu...

    Nas domenovy controller prijima vsechny metody overeni od DES po AES. Pocitace s Windows 7 a vyse maji od upgradu problemy s prihlasenim... Respektive maji problem s prihlasenim uzivatele samozrejme... Pri pokusu o prihlaseni system vrati hlasku se spatnym uzivatelskym jmenem ci heslem. A takto se do zmineneho pocitace neprihlasi vubec zadny domenovy uzivatel ci admin. Lokalni ucty nejsou timto ovlivneny (to vsak neresime). Jedine jak rozchodit prihlaseni do Windows je potlacit kerberos RC4 (zanechat DES + AES128/256) nebo potlacit kerberos AES128/256 (zanechat DES + RC4). RC4 a AES128/256 nelze mit povolene soucasne.

    Otazka c.1 (rychle docasne reseni): Jak donutit novou domenu, aby prestala distribuovat hodnotu 28 (0x1c) atributu msDS-SupportedEncryptionTypes ke klientum a mohli jsme tak nastavit tento atribut dle nasi potreby?

    Otazka c.2 (permanentni reseni): Radi bychom casem samozrejme presli na vyssi standard, tzn. AES metodu overovani pomoci Kerberosu, nicmene proc zpusobuje problemy pri spolecnem nastaveni RC4? Pri potlaceni RC4 dochazi u klientu k vyskakovani bublinky v oblasti traye s tim, ze neni mozne je overit. Je treba se zamknout a znovu odemknout. To vsak problem nevyresni a bublina se opakuje... Jak tedy prejit na domene 2016 na AES overovani?

    poznamka: V siti existuji jeste Windows XP a Windows Server 2003 (ruzne edice)

    Diky za pomoc...

    EDIT: v nekterych pripadech dokonce dochazi k zablokovani uzivatelskeho prihlaseni i s povolenym DES+RC4 a musi se RC4 zcela zablokovat...






    • Upravený GrossJan 2. února 2018 15:40
    2. února 2018 14:16

Všechny reakce