none
ВНИМАНИЕ!!! ВАЖНО!!! Мартовское обновление от Microsoft, KB3002657 ломает ntlmssp на Windows Server 2003 RRS feed

Все ответы

  • Это обновление применяется ко всем версия Windows Server:
    Applies to:
        Windows Server 2012 R2 Datacenter
        Windows Server 2012 R2 Standard
        Windows Server 2012 R2 Essentials
        Windows Server 2012 R2 Foundation
        Windows Server 2012 Datacenter
        Windows Server 2012 Standard
        Windows Server 2012 Essentials
        Windows Server 2012 Foundation
        Windows Server 2008 R2 Service Pack 1, when used with:
        Windows Server 2008 R2 Datacenter
        Windows Server 2008 R2 Enterprise
        Windows Server 2008 R2 Standard
        Windows Web Server 2008 R2
        Windows Server 2008 R2 Foundation
    У кого-нибудь возникают описанные выше проблемы в версия 2008/2012 ?

    P.S. а то по плану всегда ставлю обновления минимум через 1-2 недели после оф. выпуска.

    Best Regards, Andrei ...
    Microsoft Certified Professional


    • Изменено SQxModerator 13 марта 2015 г. 8:53 исправлено
    13 марта 2015 г. 8:51
    Модератор
  • Добрый день

    В внутренних источниках имеется информация об этой проблеме, на данный момент ведется расследование по поиску причин и устранению источников проблемы. В ближайшее время должно будет выйти исправление.

    Как обходной путь, на данный момент предлагается:

    1. Workaround: 

      Force the use of Kerberos Authentication instead of NTLM 

      OR 

      Remove MS15-027 / http://support.microsoft.com/kb/3002657/en-us from DC role Computers (last resort)

    В статье также имеется информация о данной проблеме, и предлагается временное решение.

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.

    13 марта 2015 г. 9:37
    Модератор

  • У кого-нибудь возникают описанные выше проблемы в версия 2008/2012 ?

    P.S. а то по плану всегда ставлю обновления минимум через 1-2 недели после оф. выпуска.

    Best Regards, Andrei ...
    Microsoft Certified Professional


    Да, есть подтверждения симптомов на 2008 и 2012. Лучше подождать выхода исправления.

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.

    13 марта 2015 г. 9:41
    Модератор
  • Да, есть подтверждения симптомов на 2008 и 2012. Лучше подождать выхода исправления.


     

    А следует ожидать исправления? Как-то складывается впечатление, что "...use the Kerberos protocol to authenticate Active Directory domain users", а иначе "всем спасибо, все свободны". У нас вот, пачка u-like systems с текущими настройками автоматом идут в сад...

    S.A.

    13 марта 2015 г. 14:53
  • В качестве временного решения на сторонних форумах пишут, о том что  помогает применение:
    Computer Configuration -> Windows Settings -> Local Polices -> Security Options:
    Network Security: LAN Manager authentication level = Send LM & NTLM responses
    в случае, если удаление kb3002657 обновления не помогает.

    P.S. насколько это информация достоверная сказать не могу, если кому-то поможет отпишитесь здесь пожалуйста.



    Best Regards, Andrei ...
    Microsoft Certified Professional

    15 марта 2015 г. 12:39
    Модератор

  • А следует ожидать исправления? Как-то складывается впечатление, что "...use the Kerberos protocol to authenticate Active Directory domain users", а иначе "всем спасибо, все свободны". У нас вот, пачка u-like systems с текущими настройками автоматом идут в сад...

    S.A.

    Для 2003-го уже выпущены исправления, в ближайшее время они должны будут быть доступными и в Windows Update. Насчет 2012-го, расследование продолжается, как будет информация - сообщу.

    The V2 release of MS15-027 / KB 3002657 that resolves NTLM v2 authentication failures by Windows Server 2003 DCs is available: 

    The X86 version is at http://www.microsoft.com/en-us/download/details.aspx?id=46147
    The ia64 version is at: http://www.microsoft.com/en-us/download/details.aspx?id=46204

    The amd64 is at: http://www.microsoft.com/en-us/download/details.aspx?id=46054


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.


    17 марта 2015 г. 14:23
    Модератор
  • Не помогло так как Сервер на котором встали обновления является резервным AD и на нем же Общая папка он не видит не одного компа в сети  не может поправить политики правил в реестре вот по этой статье http://www.pctools.com/guides/registry/detail/255/ Но тоже не помогло Есть ещё варианты?
    18 марта 2015 г. 11:34
  • Не помогло так как Сервер на котором встали обновления является резервным AD и на нем же Общая папка он не видит не одного компа в сети  не может поправить политики правил в реестре вот по этой статье http://www.pctools.com/guides/registry/detail/255/ Но тоже не помогло Есть ещё варианты?
    Уточните пожалуйста, пробовали в GPO изменить следующее (Modify the following GPO and apply to all your computers):

    Computer Configuration > Windows Settings > Local Polices > Security Options :
    Network Security: LAN Manager authentication level
    установить “Send LM & NTLM responses”
    Согласно статье "Don’t Install KB3002657 – Why it’s Bad News", многим помогло как решение, к сожалению подтвердить не представляется возможным. Если вам поможет отпишите пожалуйста.



    Best Regards, Andrei ...
    Microsoft Certified Professional

    • Изменено SQxModerator 18 марта 2015 г. 12:53 добавлено
    18 марта 2015 г. 12:50
    Модератор
  • Не помогло так как Сервер на котором встали обновления является резервным AD и на нем же Общая папка он не видит не одного компа в сети  не может поправить политики правил в реестре вот по этой статье http://www.pctools.com/guides/registry/detail/255/ Но тоже не помогло Есть ещё варианты?

    Уточните пожалуйста, пробовали в GPO изменить следующее (Modify the following GPO and apply to all your computers):

    Computer Configuration > Windows Settings > Local Polices > Security Options :
    Network Security: LAN Manager authentication level
    установить “Send LM & NTLM responses”
    Согласно статье "Don’t Install KB3002657 – Why it’s Bad News", многим помогло как решение, к сожалению подтвердить не представляется возможным. Если вам поможет отпишите пожалуйста.



    Best Regards, Andrei ...
    Microsoft Certified Professional


    У меня всё сложнее так как он резервный контролер домена после установки обновления  в сетевом окружении пусто соответственно нету доступа к политикам контролера домена которые лежат на главном  ...  нарыл куст реестра поправил не помогло...
    18 марта 2015 г. 15:14
  • У меня всё сложнее так как он резервный контролер домена после установки обновления  в сетевом окружении пусто соответственно нету доступа к политикам контролера домена которые лежат на главном  ...  нарыл куст реестра поправил не помогло...

    После применения в реестре, перегружали сервер?

    согласно сторонним форумам требуется выполнить следующее:

    ----------------
    1. In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
    If it doesn’t exist, create a DWORD value named LmCompatibilityLevel and set
    the value to 1 to use LM NTLM and NTLMv2 if is negociated, this is
    Also it works establishing the value to 0, and 3 though for more safety the
    value using 3 though with old operating systems it will not work on having
    used obligatorily NTLMv2.

    2. Reboot
    ----------------


    P.S. так как для применений некоторые значения в реестре требуется перегрузка сервера.


    Best Regards, Andrei ...
    Microsoft Certified Professional

    • Изменено SQxModerator 18 марта 2015 г. 17:19 исправить
    18 марта 2015 г. 17:09
    Модератор
  • Господа, откат к "use LM NTLM" обеспечивает гораздо большую дыру, чем та проблема, которую обсуждаемые обновления устраняют...

    S.A.

    19 марта 2015 г. 5:40
  • У меня всё сложнее так как он резервный контролер домена после установки обновления  в сетевом окружении пусто соответственно нету доступа к политикам контролера домена которые лежат на главном  ...  нарыл куст реестра поправил не помогло...

    После применения в реестре, перегружали сервер?

    согласно сторонним форумам требуется выполнить следующее:

    ----------------
    1. In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
    If it doesn’t exist, create a DWORD value named LmCompatibilityLevel and set
    the value to 1 to use LM NTLM and NTLMv2 if is negociated, this is
    Also it works establishing the value to 0, and 3 though for more safety the
    value using 3 though with old operating systems it will not work on having
    used obligatorily NTLMv2.

    2. Reboot
    ----------------


    P.S. так как для применений некоторые значения в реестре требуется перегрузка сервера.


    Best Regards, Andrei ...
    Microsoft Certified Professional


    В прошлых сообщениях я писал что и до ветки реестра докопался толку ноль  и вообще спасибо акронису..
    19 марта 2015 г. 5:44
  • Если у кого схожая проблема с Windows 7/8  в качестве временного решения помогает в локально политике (run gpedit.msc):

    Computer Configuration->Windows Settings->Security Settings – Network security:LAN Manager authentication level

    Указать значение "Send NTLMV2 response only".

    Best Regards, Andrei ...
    Microsoft Certified Professional

    24 марта 2015 г. 10:46
    Модератор
  • Ну и что решения НОЛЬ? так мы хорошим 2003 сервер ?
    10 апреля 2015 г. 15:52
  • Ну и что решения НОЛЬ? так мы хорошим 2003 сервер ?

    поясните пожалуйста свой вопрос

    обновление под 2003 заменили на схожее еще недели 3 назад

    10 апреля 2015 г. 16:30
    Модератор