none
после ввода в работу одного контроллера 2008r2 проблемы с kerberos RRS feed

  • Вопрос

  • Ситуация. До вчерашнего дня было два контроллера на 2003 windows-dc01,dc02

    В лесу кроме нашего домена много других, схема леса была расширена до 2012

    Вчера ввел один контроллер dc04 на windows2008 r2

    К домену был прикручен squid(kerberos аутентификация)

    После ввода-если при запуске браузера обращается к новому контроллеру(смотрю сниффером)

    6867      10.359313           10.70.0.4             10.70.70.10         KRB5     174         KRB Error: KRB5KDC_ERR_ETYPE_NOSUPP

    вывод klist 


    #2>     Клиент: xxxx @ LG.MET.COM
            Сервер: HTTP/lg-gw02.lg.met.com @ LG.MET.COM
            Тип шифрования KerbTicket: Kerberos DES-CBC-MD5
            флаги билета 0x40a00000 -> forwardable renewable pre_authent
            Время начала: 9/8/2016 12:22:20 (локально)
            Время окончания:   9/8/2016 22:19:20 (локально)
            Время продления: 9/15/2016 12:19:20 (локально)
            Тип ключа сеанса: Kerberos DES-CBC-MD5


    Что надо прописать на новом контроллере, чтобы не давал отлуп?

    8 сентября 2016 г. 10:15

Все ответы

  • есть клиенты на XP, есть на более поздних

    С IE нет проблем, так как по ntlm цепляется

    А вот хром и прочие-им нужен керберос

    вывод klist c компа-на котором все работает

    Как убрать   KRB Error: KRB5KDC_ERR_ETYPE_NOSUPP

    8 сентября 2016 г. 10:19
  • Для учетной записи пользователя не установлена галочка "Использовать типы шифрования Kerberos DES для этой учетной записи"?

    Дополнительно посмотрите обсуждение


    Innovation distinguishes between a leader and a follower - Steve Jobs

    8 сентября 2016 г. 10:37
  • Для учетной записи пользователя не установлена галочка "Использовать типы шифрования Kerberos DES для этой учетной записи"?

    Дополнительно посмотрите обсуждение


    Innovation distinguishes between a leader and a follower - Steve Jobs

    вопрос сужается-как включить Kerberos DES-CBC-MD5, наряду c Используются AES256-CTS-HMAC-SHA1-96, AES128-CTS-HMAC-SHA1-96, RC4-HMAC. Squid настроен на Kerberos DES-CBC-MD5, но есть клиенты и xp, и win7 и прочие. PDC эмулятор пока на windows 2003



    • Изменено PVDPVDPVD 8 сентября 2016 г. 11:05
    8 сентября 2016 г. 11:04
  • Changes in Kerberos Authentication

    Enabling DES encryption types for Kerberos


    In Windows 7 and Windows Server 2008 R2, you must configure your computers to use the DES-CBC-MD5 or DES-CBC-CRC cipher suites. If your environment requires DES, then this setting might affect compatibility with client computers or services and applications in your environment.

    The Network security: Configure encryption types allowed for Kerberos policy setting is located in Computer Configuration\Security Settings\Local Policies\Security Options.


    Innovation distinguishes between a leader and a follower - Steve Jobs


    • Изменено Ilya Ershov 8 сентября 2016 г. 11:10
    8 сентября 2016 г. 11:10
  • Не пойму-где мне править в Default domain policy или в Default Domain Controller Policy

    У меня контроллеры под управлением как 2003, так и 2008 r2

    клиенты как xp, так и win7,win8? win10

    Какие типы включить, чтобы не было проблем -все в обоих политиках?

    Надо ли срочно переносить роль PDC на более новый сервер

    Есть нюансы, в связи с которыми еще пару недель будут и старые и новые контроллеры в работе

    8 сентября 2016 г. 11:33
  • DES-CBC-MD5 это такое старьё! Его выключили уже почти как 10 лет!

    Вам нужно на сервере со squid обновить модуль Kerberos или настроить его.

    http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerberos


    Сазонов Илья

    https://isazonov.wordpress.com/


    8 сентября 2016 г. 15:15
    Модератор
  • Таки не пойму

    https://support.microsoft.com/en-us/kb/977321

    Но -1) У меня репликация работает- repadmin /syncall ошибок не выдает

    2) Ошибки именно эти, что в статье 16 и 27 только на контроллере 2008 r2

    3) Правильно я понимаю из статьи, что, чтобы включить Kerberos DES-CBC-MD5-нужно

    первое-Поставить патч 978055  на новый контроллер

    4) Включить в Default Domain Controller Policy политику, где проставить все 6 галок-поддерживаемые протоколы шифрования или просто параметр на новом контроллере HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\

    выставить в 0x7FFFFFFF и перезагрузить его. Тоже самое сделать на клиентах

    Этого достаточно, чтобы включить Kerberos DES-CBC-MD5 и не выключать все остальные типы шифрования.

    5) Написано, что RC4-HMAC поддерживается 2003/xp Это какое обновление(номер) дает такую поддержку? 

    8 сентября 2016 г. 15:32
  • rc4-hmac должно работать и на 2003-м, и на 2008-м серверах - проверьте настройки Squid, что он так же поддерживает rc4-hmac - ссылка выше.

    Сазонов Илья

    https://isazonov.wordpress.com/

    8 сентября 2016 г. 17:30
    Модератор
  • установить обновление 978055  на новый контроллер

    https://support.microsoft.com/en-us/kb/977321

    Пишет обновление неприменимо к данному компьютеруИ что дальше?

    9 сентября 2016 г. 7:55