Разрешить алгоритмы шифрования, совместимые с Windows NT 4
Обновлено: 21.11.2024
Windows NT 4.0 не может просматривать Windows Server 2008 R2, но я могу пропинговать его. Но на Win Server 2003 можно нормально просматривать (спрашивать имя пользователя и пароль).
Я получаю сообщение об ошибке: сетевой путь не найден.
Есть идеи, что это может быть?
Почему вы используете операционную систему, выпущенную ШЕСТНАДЦАТЬ ЛЕТ назад, которая не поддерживается уже почти десять лет? Это просто не оправдание, этот сайт для профессиональных системных администраторов, я не знаю, как описать что-то настолько опасное, но это далеко не профессионально.
Операционная система Win NT — это старый станок с ЧПУ (их шесть), который пока не может заменить новой ОС. Поверьте мне, я бы изменил его, если бы мог.
@Chopper3: Лаборатории, мастерские и фабрики до сих пор заполнены теми старыми машинами, которые просто отлично работают. В центре обработки данных этому не место, но в другом месте замена управляющего компьютера на более новый означает, что вам придется заплатить очень большие суммы за замену управляемого оборудования. Поддержание этих систем в рабочем состоянии часто входит в компетенцию системных администраторов (как я знаю из личного опыта).
@Chopper3 NT4 — это антиквариат, да. Но иногда нам приходится их поддерживать. Это не значит, что мы не профессионалы. У меня аналогичная ситуация на двух заводах. Альтернативы этой технологии просто нет. Конечно, они попадают только в отдельную VLAN. Целевой сервер имеет два сетевых адаптера, один из которых находится в этой локальной сети, а другой подключен к обычной локальной сети. И это не мост: только общий ресурс, открытый для обеих сторон для передачи данных, и VLAN NT4, защищенный брандмауэром для всего остального.
5 ответов 5
Могу ли я предложить альтернативное решение?
Если ваш NT4.0 boxen управляет оборудованием ЧПУ, я предполагаю, что все, что вам нужно сделать, это скопировать командные файлы (или что-то еще).
Как насчет размещения IIS на сервере Windows 2k8, тогда вы сможете использовать Internet Explorer (или аналогичный) для просмотра списка файлов и загрузки из него материалов.
Тем не менее, если вам нужна двусторонняя передача файлов, FTP по-прежнему возможен..
При обновлении контроллеров домена Active Directory, функционального уровня домена и функционального уровня леса до Windows Server 2008 и Windows Server 2008 R2 предлагается дополнительная функциональность по сравнению с предыдущими версиями, также существует несколько предостережений, которые, я думаю, вам следует быть в курсе.
В этом сообщении блога:
Шифрование, совместимое с NT 4.0
Контроллеры домена Windows Server 2008 и Windows Server 2008 R2 имеют новое, более безопасное значение по умолчанию для параметров безопасности под названием «Разрешить криптографические алгоритмы, совместимые с Windows NT 4.0».
При повышении роли сервера до контроллера домена сразу после экрана приветствия отображается экран с этим сообщением:
Хотя это и не кажется чем-то особенным, возможно, в свете средства миграции Active Directory (ADMT). Без возможности установить доверительные отношения между исходным и целевым доменами невозможно перенести объекты из домена Windows NT4. Вы никогда не надеетесь столкнуться со средой Windows NT 4.0 в случае слияния, поглощения или продажи, но никогда нельзя быть уверенным…
Кроме того, вы можете столкнуться с проблемами в средах, содержащих только контроллеры домена Windows Server 2008 и Windows Server 2008 R2, при настройке клиентов до Windows Vista с пакетом обновления 1 (SP1) для присоединения к домену через службы развертывания Windows или Microsoft Deployment Toolkit (MDT). Для Windows XP и Windows Server 2003 доступно обновление, устраняющее эту проблему.
Теперь, конечно, отказ от перехода на Windows Server 2008 (R2) несколько излишен. Когда вы сталкиваетесь с проблемами и не возражаете против ослабленных настроек безопасности, вы всегда можете (временно) включить параметр «Разрешить криптографические алгоритмы, совместимые с Windows NT 4.0» на всех Windows Server 2008 и Windows Server 2008 R2, которые вам нужны. . Выполните следующие шаги:
После этого шага перезапустите службу входа в сеть.
Если вы хотите применить новые параметры безопасности по умолчанию, выполните те же действия, но выберите параметр "Отключено" на шаге 5.
Переход на 64 (бит)
Windows Server 2008 R2 доступен только в 64-разрядной версии. Таким образом, при переходе с 32-разрядных контроллеров домена на 64-разрядные контроллеры домена вы обязательно столкнетесь с некоторыми интересными проблемами.
Первой задачей является подготовка среды Active Directory к работе с Windows Server 2008 или Windows Server 2008 R2. Чтобы подготовить среду Active Directory для более новых контроллеров домена, запустите adprep.exe на контроллере домена с ролью Flexible Single Master Operations (FSMO) эмулятора основного контроллера домена (PDCe).
Однако при подготовке среды Active Directory 32-разрядной версии Windows Server 2003 (R2) для контроллеров домена на базе Windows Server 2008 x64 вам потребуется запустить файл adprep.exe с DVD-диска Windows Server 2008 x86.К счастью, для этой цели достаточно файла adprep.exe на пробном DVD.
Подготовка 32-разрядной среды Active Directory Windows Server 2003 (R2) или Windows Server 2008 для Windows Server 2008 R2 — это отдельная история. В этом случае вам нужно запустить adprep32.exe. Он находится на DVD-диске Windows Server 2008 R2 в той же папке, что и adprep.exe. (Эта версия adprep.exe предназначена только для x64.)
Кроме того, при развертывании контроллера домена Windows Server 2008 R2 вы должны сначала проверить, все ли инструменты и программы, которые вы используете в текущей среде, готовы к 64-разрядной версии и Windows Server 2008 R2. Это включает в себя программное обеспечение для защиты от вредоносных программ, программное обеспечение для резервного копирования, программное обеспечение для управления и реагирования на события источника бесперебойного питания, сторонние инструменты управления и инструменты мониторинга.
Знакомство с командной строкой
При переходе на контроллеры домена на базе Windows Server 2008 и Windows Server 2008 R2 и их соответствующие функциональные уровни домена и леса подготовьтесь к некоторым операциям с командной строкой.
Во-первых, для проверки правильности репликации подготовки Active Directory нельзя использовать графический инструмент replmon.exe. Этот инструмент больше не доступен. Вместо этого вам нужно будет использовать инструмент командной строки repadmin.exe.
Более того, большинство расширенных функций, доступных при использовании контроллеров домена на базе Windows Server 2008 и Windows Server 2008 R2 и функциональных уровней Windows Server 2008 и Windows Server 2008 R2, доступны только из командной строки.< /p>
Например, сжатие баз данных Active Directory, управление детализированными политиками паролей, работа со снимками Active Directory, автономное присоединение к домену, создание носителя IFM с SYSVOL, включение и использование корзины Active Directory и управление управляемой службой. Учетные записи (MSA) доступны только в командной строке (при использовании только встроенных инструментов).
Ограниченные возможности перехода на 2008 R2
На момент написания этой записи в блоге не существовало подходящей версии средства миграции Active Directory (ADMT) для преобразования сред Active Directory в Windows Server 2008 R2.
Реструктуризация — это один из трех способов перехода на следующую версию серверов Windows в качестве контроллеров домена. Два других способа — обновление на месте и переход. При обновлении на месте следующая версия Windows Server используется для обновления контроллера домена напрямую без переустановки. Переход означает добавление дополнительных контроллеров домена с новой версией Windows Server параллельно с существующими контроллерами домена с целью поэтапного отказа от старых контроллеров домена.
Если вы хотите изменить структуру Active Directory на Windows Server 2008 R2, вам нужно либо дождаться выхода средства миграции Active Directory (ADMT) версии 3.2, либо изменить структуру на инфраструктуру Active Directory, основанную на контроллерах домена Windows Server 2008 и обновление на месте или переход на контроллеры домена Windows Server 2008 R2 оттуда.
Развертывание контроллеров домена Server Core
Установки Server Core — это оптимизированные установки Windows Server. Этот вариант установки был представлен в Windows Server 2008.
Еще одно различие между установками Server Core Windows Server 2008 и Windows Server 2008 R2 заключается в различных доступных инструментах управления. В то время как Windows Server 2008 предлагает инструменты ocsetup.exe и oclist.exe, Windows Server 2008 R2 предлагает dism.exe, который является более мощным.
Виртуализация контроллеров домена
Hyper-V — это новая роль сервера, представленная в Windows Server 2008. Наряду с Hyper-V появилась Программа проверки виртуализации серверов (SVVP). К тому времени виртуализация уже была горячей темой на многих предприятиях, но популярность виртуализации центров обработки данных росла еще больше.
Несмотря на то, что виртуализированные контроллеры домена (независимо от того, являются ли они установками Server Core или Full) предлагают значительные преимущества с точки зрения гибкости, масштабируемости и аварийного восстановления, они также являются сердцем инфраструктуры и должны развертываться с умом.
Поэтому следуйте этим рекомендациям при виртуализации контроллеров домена с помощью кластеров Hyper-V:
Важно! В этой статье содержится информация о том, как изменить реестр. Убедитесь, что вы создали резервную копию реестра, прежде чем изменять его. Убедитесь, что вы знаете, как восстановить реестр в случае возникновения проблемы. Для получения дополнительных сведений о резервном копировании, восстановлении и изменении реестра щелкните следующий номер статьи базы знаний Майкрософт:
Симптомы
Примечание. Период жизненного цикла поддержки Microsoft для Windows NT 4.0 истек. Сценарии, относящиеся к Windows NT 4.0, не тестировались и не поддерживаются. Следующая информация носит информационный характер и предназначена для упрощения перехода с систем Windows NT 4.0.Дополнительные сведения о политике жизненного цикла поддержки Майкрософт см. на следующем веб-сайте Майкрософт:
Когда компьютер под управлением Windows NT 4.0 пытается использовать службу NETLOGON для установления безопасного канала с контроллером домена Windows Server 2008 или более поздней версии, операция может завершиться ошибкой. Аппаратное или программное обеспечение может быть не в состоянии установить безопасный канал с контроллером домена Windows Server текущей версии, если аппаратное или программное обеспечение использует алгоритмы шифрования, используемые в Windows NT 4.0.
В этом случае могут возникнуть следующие симптомы.
Симптом 1
Вы не можете войти в домен с компьютера под управлением Windows NT 4.0, который обслуживается контроллером домена Windows Server 2008 или более поздней версии. В зависимости от того, кэшируются ли учетные данные учетной записи для входа в домен на компьютере под управлением Windows NT 4.0, вы можете получить одно из следующих сообщений об ошибке:
Сообщение об ошибке 1
Не удалось связаться с контроллером домена для вашего домена. Вы вошли в систему, используя кэшированные данные учетной записи. Изменения в вашем профиле с момента вашего последнего входа в систему могут быть недоступны.
Симптом 2
Доверительные отношения, существующие между доменами Windows NT 4.0 и текущими доменами Windows Server, могут не работать. Вы можете успешно создать первоначальное доверие. Однако при попытке проверить доверие с помощью оснастки консоли управления (MMC) Domain.msc проверка может завершиться ошибкой. Кроме того появляется следующее сообщение об ошибке:
Симптом 3
Клиент SAMBA SMB не может выполнять операцию присоединения к домену с контроллером домена Windows Server 2008 или более поздней версии. Или клиент SAMBA Server Message Block (SMB) не может установить безопасный канал с текущим контроллером домена Windows Server.
Кроме того, контроллер домена Windows Server, обрабатывающий запрос канала безопасности, возвращает следующий код ошибки:
Hex: 0x4F1h
Десятичный: 1265
Символическая ошибка: ERROR_DOWNGRADE_DETECTED
Краткая ошибка: "STATUS_DOWNGRADE_DETECTED"
Понятная ошибка: система обнаружила возможную попытку нарушения безопасности. Убедитесь, что вы можете связаться с сервером, который вас аутентифицировал.
Примечание. Ошибка "STATUS_DOWNGRADE_DETECTED" имеет несколько основных причин. Таким образом, эта ошибка не обязательно указывает на симптом 3.
Симптом 4
Примечание. Устройства хранения SMB также называются IP-устройствами хранения.
На аутентифицирующем контроллере домена в системный журнал заносятся следующие ошибки:
Имя журнала: Система
Источник: NETLOGON
Дата: Дата: Время
Код события: 5805
Категория задачи: Нет
Уровень: Ошибка
Пользователь: Н/Д
Компьютер: AuDomainName
Описание: Установка сеанса с компьютера не прошла проверку подлинности. Произошла следующая ошибка: Доступ запрещен.
Примечание. AuDomainName представляет собой имя аутентифицирующего контроллера домена.
Имя журнала: Система
Источник: NETLOGON
Дата: Дата: Время
Код события: 5722
Категория задачи: Нет
Уровень: Ошибка
Ключевые слова: Классический
Пользователь: Н/Д
Компьютер: AuDomainName
Описание: При настройке сеанса с компьютера ClientComputerName не удалось выполнить аутентификацию. Имя (имена) учетных записей, на которые ссылается база данных безопасности, — ClientComputerName$. Произошла следующая ошибка: Система обнаружила возможную попытку нарушения безопасности. Убедитесь, что вы можете связаться с сервером, который вас аутентифицировал.
Кроме того, может оказаться невозможным установить безопасный канал от Hewlett-Packard (HP) Advanced Server для OpenVMS к контроллеру домена Windows Server 2008 или более поздней версии. В частности, текущий контроллер домена Windows Server 2008 возвращает следующий код ошибки на запрос OpenVMS NetrServerAuthenticate:
Hex: 0x4F1h
Десятичный: 1265
Символическая ошибка: ERROR_DOWNGRADE_DETECTED
Краткая ошибка: "STATUS_DOWNGRADE_DETECTED"
Понятная ошибка: система обнаружила возможную попытку нарушения безопасности. Убедитесь, что вы можете связаться с сервером, который вас аутентифицировал.
Примечание. Ошибка "STATUS_DOWNGRADE_DETECTED" имеет несколько основных причин. Таким образом, эта ошибка не обязательно указывает на симптом 4.
Симптом 5
Первичный контроллер домена (PDC) Windows NT 4.0 не может создать внешнее доверие между собой и эмулятором PDC, работающим под управлением Windows Server 2008 R2 или более поздней версии. Доступ к серверам под управлением Windows Server 2008 R2 и выше невозможен с использованием доверия домена на основе Windows NT 4.0. Члены Windows NT 4.0, находящиеся в домене под управлением Windows NT 4.0, также не могут получить доступ к контроллерам домена под управлением Windows Server 2008 R2 или более поздней версии с помощью доверия. Это происходит, даже если доверие было создано между основным контроллером домена под управлением Windows NT 4.0 и основным контроллером домена под управлением Windows Server 2008 или Windows Server 2003.
Следующие ошибки регистрируются в журнале системы на PDC под управлением Windows NT 4.0 после создания доверия:
Следующие ошибки регистрируются в системном журнале основного контроллера домена, работающего под управлением Windows Server 2008 R2, после создания доверия: При попытке проверить доверие с помощью Domain.msc вы получаете следующее сообщение об ошибке: р>
"Проверка доверия между доменом southridgevideo и доменом cpandl не удалась, потому что: Отказано в доступе. Чтобы восстановить доверие к домену до Windows 2000, необходимо удалить и повторно добавить доверие с обеих сторон."< /p>
Вы используете рядовой компьютер под управлением Windows NT 4.0 в домене под управлением Windows NT 4.0 с проверенным доверием. При попытке доступа к ресурсу, расположенному на контроллере домена под управлением Windows Server 2008 R2, появляется следующее сообщение об ошибке:
Причина
Важные доверительные отношения Windows NT 4.0 не могут быть созданы между доменами Windows Server 2008 R2 или более поздней версии и доменами на базе Windows NT 4.0. Действия по обходному пути, описанные далее в этой статье, применимы только к Windows Server 2008. Изменения безопасности, внесенные в Windows Server 2008 R2, предотвращают установление доверия между доменами на основе Windows Server 2008 R2 и доменами на основе Windows NT 4.0. Такое поведение предусмотрено дизайном.
Временное решение
Чтобы обойти эту проблему, убедитесь, что клиентские компьютеры используют алгоритмы шифрования, совместимые с Windows Server 2008. Возможно, вам придется запросить обновления программного обеспечения у поставщиков продуктов.
- По умолчанию для параметра Разрешить алгоритмы шифрования, совместимые с политикой Windows NT 4.0, в следующих объектах групповой политики (GPO) установлен параметр Не настроено:
- Политика домена по умолчанию
- Политика контроллеров домена по умолчанию
- Политика локального компьютера
Статус
Дополнительная информация
Связанная проблема на компьютерах под управлением Windows 2000 или более поздних версий Windows
Hex: 0x4F1h
Десятичный: 1265
Символическая ошибка: ERROR_DOWNGRADE_DETECTED
Краткая ошибка: "STATUS_DOWNGRADE_DETECTED"
Понятная ошибка: система обнаружила возможную попытку нарушения безопасности. Убедитесь, что вы можете связаться с сервером, который вас аутентифицировал.Эта проблема возникает, когда параметр политики отключен или не настроен.
Примечание. Ошибка "STATUS_DOWNGRADE_DETECTED" имеет несколько основных причин. Таким образом, эта ошибка не обязательно означает, что вы столкнулись с этой проблемой.
- Windows 2000
- Windows XP
- Windows Server 2003
- Релизная версия Windows Vista
- Вы используете службы развертывания Windows (WDS) или службы удаленной установки (RIS) для установки операционной системы Windows.
- Вы используете средство миграции Active Directory (ADMT) для переноса учетной записи компьютера в операционной системе Windows.
944043 Описание пакета совместимости контроллера домена только для чтения Windows Server 2008 для клиентов Windows Server 2003, клиентов Windows XP и Windows Vista
Как устранить эти проблемы
- Если клиентский компьютер работает под управлением Windows NT 4.0, обновите Windows NT 4.0 до Windows 2000 или более поздних версий. Если выполнить обновление не удается, выполните действия, описанные в разделе «Временное решение».
- Если клиентский компьютер работает под управлением Windows 2000 или более поздней версии Windows и на клиентском компьютере выполняется операция незащищенного присоединения к домену, в качестве временного решения выполните действия, описанные в разделе "Временное решение".
- Если клиентский компьютер работает под управлением Windows 2000 или более поздней версии Windows, и вы не уверены, выполняет ли клиентский компьютер операцию незащищенного присоединения, проверьте файл %systemroot%\Debug\Netsetup.log. Если клиентский компьютер выполняет операцию незащищенного присоединения, в журнал заносится информация, похожая на приведенную ниже:
09.11 02:21:04 Не удалось проверить учетную запись компьютера для ComputerName по
SPN_Name: 0xc0000388
09.11 02:21:04 NetpJoinDomain: w9x: статус проверки учетной записи: 0x4f1 р>-
Определите, какой контроллер домена обрабатывает запросы канала безопасности.
- Нажмите «Пуск», выберите «Выполнить», введите Services.msc и нажмите «ОК».
- В консоли «Службы» убедитесь, что статус службы NETLOGON — «Запущен».
- Если статус не Запущен, щелкните правой кнопкой мыши службу NETLOGON и выберите Пуск.
- Нажмите "Пуск", выберите "Выполнить", введите cmd и нажмите "ОК".
- В командной строке введите следующую команду:
- Нажмите "Пуск", выберите "Выполнить", введите regedit и нажмите "ОК".
- Найдите и щелкните правой кнопкой мыши следующий подраздел реестра:
Windows NT LAN Manager (NTLM) — это протокол проверки подлинности типа «запрос-ответ», используемый для проверки подлинности клиента при доступе к ресурсу в домене Active Directory. Когда клиент запрашивает доступ к службе, связанной с доменом, служба отправляет вызов клиенту, требуя, чтобы клиент выполнил математическую операцию, используя свой токен проверки подлинности, а затем вернул результат этой операции службе. Служба может проверить результат или отправить его на контроллер домена (DC) для проверки. Если служба или контроллер домена подтверждают правильность ответа клиента, служба разрешает доступ к клиенту.
NTLM – это тип единого входа (SSO), поскольку он позволяет пользователю указать базовый фактор аутентификации только один раз при входе в систему.
Набор протоколов NTLM реализован в поставщике поддержки безопасности (SSP), Win32 API, используемом системами Microsoft Windows для выполнения различных операций, связанных с безопасностью, таких как проверка подлинности. Набор протоколов NTLM включает протокол проверки подлинности LAN Manager, протоколы сеансов NTLMv1, NTLMv2 и NTLM2.
NTLM широко используется даже в новых системах для обеспечения совместимости со старыми системами, но Microsoft больше не рекомендует его использовать, поскольку NTLM не поддерживает текущие методы шифрования, такие как AES или SHA-256. Microsoft приняла Kerberos в качестве предпочтительного протокола проверки подлинности для Windows 2000 и последующих доменов Active Directory.
Надежен ли NTLM?
NTLM обычно считается небезопасным, поскольку использует устаревшую криптографию, уязвимую для нескольких видов атак. NTLM также уязвим для атак с передачей хэша и атак грубой силы.
Для чего до сих пор используется NTLM?
NTLM используется там, где требуется обратная совместимость. Microsoft не рекомендует NTLM для новых реализаций.
Что такое NTLM-прокси?
NTLM Proxy – это прокси-программа, которая позволяет пользователям проходить аутентификацию с использованием протокола NTLM.
Использует ли NTLM протокол Kerberos?
NTLM был заменен на Kerberos. Microsoft добавила хэш NTLM в свою реализацию протокола Kerberos для улучшения взаимодействия. По словам независимого исследователя, такое проектное решение позволяет обманным путем заставить контроллеры домена выдать злоумышленнику билет Kerberos, если известен хэш NTLM.
Microsoft приняла Kerberos в качестве предпочтительного протокола аутентификации для Windows 2000 и последующих доменов Active Directory.
Отчет о беспарольном доступе за 2021 год
Бумага
Отчет о беспарольной матрице Aite Group за 2021 год
Краткий обзор нашего решения
Бумага
Обзор решения Secret Double Octopus
Secret Double Octopus's Passwordless Enterprise™ — идеальное решение для всех потребностей аутентификации в домене. Узнайте, как работает наш революционный подход к аутентификации сотрудников и что он может сделать для вашей организации.
Читайте также: