Когда был введен первый контроллер домена с операционной системой Windows 2008 R2 (ракже роли DNS и WINS) обнаружилась пролема аутентификации Win9x компьютеров.
проблема возникла после того как новому контроллеру были переданы роли:
Domain naming master, RID pool manager
(можно посмотреть командой netdom query fsmo)
При попытке входа в домен на Win9x компьютерах выдвалась ошибка:
"Данный запрос не поддерживается сетью"
Раскопки в гугле и сравнение значений реестра наконтроллерах с разной ОС (2003 и 2008R2) привели к следующему решению:
ключи реестра на 2008R2 должны быть следующими:
Windows Registry Editor Version 5.00
[HKLM\SYSTEM\CurrentControlSet\Control\Lsa\]
"lmcompatibilitylevel"=dword:00000002
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0]
"Auth132"="IISSUBA"
"NtlmMinClientSec"=dword:00000000
"NtlmMinServerSec"=dword:00000000
Посмотреть здесь можно.
аналогичные изменения можно внести политикой:
Там же изменил параметры подписывания SMB:Microsoft network client: Send unencripted password to third-party SMB servers
Microsoft network server: Digitally sign communications (always)
О которых можно почитать здесь.
После чего при входе на Win9x компьютерах (теперь вместо NET-BIOS обязательно нужно использовать полнодоменное имя ) стали выдаватся сообщения вида:
"пароль не опознан и одним из серверов", но при этом все сетевые ресурсы стали доступны.
"пароль не опознан и одним из серверов", но при этом все сетевые ресурсы стали доступны.
Примечательно, что, если пользователю менять пароль, то он перестаёт мочь аутентифицироваться и ему не предоставляются сетевые ресурсы. Даже если на Win9x клиенте установлен dsclient v 5.0.2920.5.exe и 266772usa8.exe и 293793USA8.EXE. Как было сказано здесь.
Примечательно, что те пользователи, которые не меняли пароль могут заходить на машину без проблем, а новые - не могут этим похвастать. Версия Windows 98 SE по крайней мере.
Установил: Maximus Decim Cumulative Update - не помогло.
На контроллере домена, обнаружил следующую ошибку:
System
- Provider
[ Name] Microsoft-Windows-Security-Auditing
[ Guid] {54849625-5478-4994-A5BA-3E3B0328C30D}
EventID 4776
Version 0
Level 0
Task 14336
Opcode 0
Keywords 0x8010000000000000
- TimeCreated
[ SystemTime] 2010-03-26T10:50:21.265625000Z
EventRecordID 11209030
Correlation
- Execution
[ ProcessID] 532
[ ThreadID] 704
Channel Security
Computer DC.corp.mydomain.ru
Security
- EventData
PackageName MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
TargetUserName UserName
Workstation \\PCName
Status 0xc000006a
натолкнулся на неожиданное решение. Еще об этом.
Итак решение:
На Windows 98:
1. Установить IE6 SP1
2. Установить DSClient
На Windows 2008:
1. Создать параметр SMB2 (REG_DWORD) и установить в "0" путь HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters)
2. Создать параметр EnableRaw (REG_DWORD) и установить в "0" путь HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters
3. В локальных политиках - Параметры безопасности: Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера) (Microsoft network client: Digitally sign communications (if server agrees) установить в "Включено"
4. Клиент сети Microsoft: использовать цифровую подпись (всегда) ( Microsoft network client: Digitally sign communications (always) установить в "Отключено"
5. Сервер сети Microsoft: использовать цифровую подпись (с согласия клиента) (Microsoft network server: Digitally sign communications (if server agrees)) установить в "Включено"
6. Сервер сети Microsoft: использовать цифровую подпись (всегда) (Microsoft network server: Digitally sign communications (always) установить в "Отключено"
7. Сетевая безопасность: уровень проверки подлинности LAN Manager установить "Отправлять только NTLM-ответ"
Как ни странно, это тоже не помогло...
Еще одну неприятность заметил - если прользователи не меняют пароль (у них в учетной записи выставлена галка не менять пароль), то у них никаких проблем, если же меняют (на другой машине с ОС XP) или им сбрасывается пароль административно - то уже номально аутентифицироваться не могут на сетевых ресурсах доменной учеткой.
Комментариев нет:
Отправить комментарий