Введение
В средних и крупных компаниях для управления инфраструктурой корпоративной сети принято использовать доменные службы с одним или несколькими контроллерами домена Active Directory, которые формируют сайты и леса. Доменные службы, о которых пойдет речь в этой статье, позволяют проверять подлинность пользователей и клиентских компьютеров, централизованно управлять инфраструктурными единицами предприятия при помощи групповых политик, предоставлять доступ к общим ресурсам и многое другое. Структура идентификации и доступа корпоративных сетей Active Directory включает в себя пять технологий:
- Доменные службы Active Directory (Active Directory Domain Services — AD DS);
- Службы сертификации Active Directory (Active Directory Certificate Services — AD CS);
- Службы управления правами Active Directory (Active Directory Rights Management Services — AD RDS);
- Службы федерации Active Directory (Active Directory Federation Services — AD FS);
- Службы облегченного доступа к каталогам (Active Directory Lightweight Directory Services — AD LDS).
Основной технологией Active Directory считаются доменные службы (AD DS). Именно при помощи данной службы вы можете развернуть контроллер домена, без которой в основных службах просто нет необходимости. Серверную роль доменных служб Active Directory можно устанавливать как при помощи графического интерфейса, так и средствами командной строки в полной редакции Windows Server 2008/2008 R2, а также в редакциях ядра сервера Windows Server 2008/2008 R2 средствами командной строки. В этой статье речь пойдет именно об установке роли AD DS при помощи командной строки (как в полной версии, так и в режиме ядра доменные службы Active Directory средствами командной строки устанавливаются одинаково). Но перед командами установки данной роли рекомендую ознакомиться с некоторыми терминами, которые используются в данной технологии:
Контроллер домена. Контроллером домена называется сервер, выполняющий роль доменных служб, или служб каталогов, как называлось ранее, на нем также располагается хранилище данных каталогов и протокол распределения ключей Kerberos (Kerberos Key Distribution Center — KDC). Этот протокол обеспечивает проверку подлинности объектов идентификации в домене Active Directory.
Домен. Домен – это административная единица, внутри которой расположены компьютеры, группы безопасности и пользователи одной сети, управляемые контроллером домена, использующие единые определенные возможности. Контроллер домена реплицирует раздел хранилища данных, который содержит данные идентификации пользователей, групп и компьютеров домена. Причем, учетные записи пользователей и компьютеров расположены не локально на клиентских компьютерах, а на контроллере домена, то есть используется сетевой вход в системы на всех рабочих местах. Помимо этого, домен является областью действия административных политик разного характера.
Лес. Совокупность доменов, использующих единую схему каталога, называется лесом доменов. По сути, лес представляет собой самую внешнюю границу службы каталогов, где первый установленный домен называется корневым. Внутри каждого леса используется общая структура каталогов и настройка службы каталогов. Лес содержит единственное описание сетевой конфигурации и один экземпляр каталога схемы. Лес может состоять из одного или нескольких доменов. Внутри леса домены связываются между собой отношениями «родитель-потомок». При этом имя дочернего домена обязательно включает в себя имя родительского домена.
Дерево. Внутри леса домена, пространство доменных имен содержит деревья леса. Домены интерпретируются как деревья в том случае, если один домен является дочерним для другого. Это означает, что имя корневого домена дерева и всех его дочерних доменов не должно обязательно содержать полное имя родительского домена. Лес может содержать одно или несколько деревьев доменов.
Сайт. Сайтом называется такой объект Active Directory, как контейнер, предоставляющий часть предприятия с хорошей сетевой коммуникацией. Сайты обычно используются предприятиями, у которых филиалы разбросаны по всей стране или по разным странам и даже континентам. Сайт создает периметр репликации и использования служб Active Directory. Основные задачи сайтов – управление трафиком репликации и локализации служб. Репликацией называется перенос изменений с одного контроллера домена на другой, а локализация служб позволяет пользователям проходить проверку подлинности на любом контроллере домена во всем сайте.
Введение
Сразу проясню технические моменты.
- Все события происходят на серверах версии Windows Server 2012 R2.
- Используются бесплатные гипервизоры Windows Hyper-V Server 2012 R2 и Windows Hyper-V Server 2016.
- Все серверы включены в домен. Часть серверов сами являются контроллерами доменов.
Теперь по симптомам. Периодически после плановой установки обновлений и перезагрузки в свойствах сетевого подключения меняется тип сети. Она перестает быть доменной и становится приватной.
Так же несколько раз была ситуация, когда сетевое подключение получало новое имя. Как видно на примере, сетевой интерфейс имеет имя Сеть 3. То есть это уже третий раз, когда он поменял имя. Оба эти события не всегда случаются одновременно. Имя сети может и не поменяться, но поменяется ее тип. При этом вирутальные машины никуда не переезжают, их настройки не меняются. Мне совершенно не понятно, почему может измениться сетевой интерфейс.
Пару раз была ситуация, когда сервер вообще был недоступен по сети после перезагрузки. При подключении к консоли я видел запрос на выбор типа сети. После того, как я указывал тип сети, сервер становился досупен. При этом его сетевые настройки не слетали, везде прописана статика. Конкретно эта ошибка гарантирована не воспроисзводилась, я особо не занимался расследованием. А вот со сменой типа сети сталкиваюсь регулярно, поэтому накопилась статистика.
Fix-3 Подключиться к домену через Настройки
Случай 1 — для Windows 10
Подключение к домену через Windows Настройки это альтернативный путь, который вы можете использовать для решения проблемы.
1. Нажмите клавишу Windows+I, чтобы открыть Настройки окно.
2. В Настройки нажмите «Учетные записи», чтобы открыть настройки учетной записи.
3. Когда учетные записи На вашем экране появится сообщение «Доступ к работе или школе».
4. Теперь нажмите «Подключить», чтобы начать процесс подключения рабочей станции.
5. В Учетная запись Майкрософт В нижней части окна нажмите «Присоединить это устройство к локальному домену Active Directory».
6. Присоединитесь к домену панель будет открыта.
7. В Присоединиться к домену панели, в разделе «Имя домена» введите имя домена (будет иметь такой формат — «*.local»), к которому вы хотите присоединиться.
8. Теперь нажмите «Далее», чтобы перейти к следующему шагу.
9. На последнем шаге введите административный пароль и завершите подключение к домену.
Может потребоваться перезагрузка, чтобы изменения вступили в силу на вашем компьютере. Ваша проблема должна быть решена.
Случай 2 — для Windows 11
1 — Нажмите клавишу Windows + I, чтобы открыть настройки.
2 -Нажмите «Учетные записи» в левом меню.
3 — Теперь нажмите «Доступ к работе или школе» справа.
4 -Нажмите «Подключиться».
5. В Учетная запись Майкрософт В нижней части окна нажмите «Присоединить это устройство к локальному домену Active Directory».
6. Присоединитесь к домену панель будет открыта.
7. В Присоединиться к домену панели, в разделе «Имя домена» введите имя домена (будет иметь такой формат — «*.local»), к которому вы хотите присоединиться.
8. Теперь нажмите «Далее», чтобы перейти к следующему шагу.
9. На последнем шаге введите пароль администратора и завершите подключение к домену.
Перезагрузите компьютер. задача решена.
Программы для Windows, мобильные приложения, игры — ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале — Подписывайтесь:)
Вы не можете получить гостевой доступ к общей папке без проверки подлинности
Начиная с версии Windows 10 1709 (Fall Creators Update) Enterprise и Education пользователи стали жаловаться, что при попытке открыть сетевую папку на соседнем компьютере стала появляться ошибка:
Вы не можете получить доступ к этой общей папке, так как политики безопасности вашей организации блокируют гостевой доступ без проверки подлинности. Эти политики помогают защитить ваш компьютер от небезопасных или вредоносных устройств в сети.
An error occurred while reconnecting Y: to \nas1share Microsoft Windows Network: You can’t access this shared folder because your organization’s security policies block unauthenticated guest access. These policies help protect your PC from unsafe or malicious devices on the network.
При это на других компьютерах со старыми версиями Windows 8.1/7 или на Windows 10 с билдом до 1709, эти же сетевые каталоги открываются нормально. Эта проблем связана с тем, что в современных версиях Windows 10 (начиная с 1709) по умолчанию запрещен сетевой доступ к сетевым папкам под гостевой учетной записью по протоколу SMBv2 (и ниже). Гостевой (анонимный) доступ подразумевают доступ к сетевой папке без аутентификации. При доступе под гостевым аккаунтом по протоколу SMBv1/v2 не применяются такие методы защиты трафика, как SMB подписывание и шифрование, что делает вашу сессию уязвимой против MiTM (man-in-the-middle) атак.
При попытке открыть сетевую папку под гостем по протоколу SMB2, в журнале клиента SMB (Microsoft-Windows-SMBClient) фиксируется ошибка:
Source: Microsoft-Windows-SMBClient Event ID: 31017 Rejected an insecure guest logon.
В большинстве случае с этой проблемой можно столкнуться при использовании старых версий NAS (обычно для простоты настройки на них включают гостевой доступ) или при доступе к сетевым папкам на старых версиях Windows 7/2008 R2 или Windows XP /2003 с настроенным анонимным (гостевым) доступом (см. таблицу поддерживаемых версий SMB в разных версиях Windows).
В этом случае Microsoft рекомендует изменить настройки на удаленном компьютере или NAS устройстве, который раздает сетевые папки. Желательно переключить сетевой ресурс в режим SMBv3. А если поддерживается только протокол SMBv2, настроить доступ с аутентификацией. Это самый правильный и безопасный способ исправить проблему.
В зависимости от устройства, на котором хранятся сетевые папки, вы должны отключить на них гостевой доступ.
- NAS устройство – отключите гостевой доступ в настройках вашего NAS устройства (зависит от модели);
- Samba сервер на Linux — если вы раздаете SMB каталог с Linux, в конфигурационном файле smb.conf в секции нужно добавить строку:А в секции с описанием сетевой папки запретить анонимный доступ:
- В Windows вы можете включить общий доступ к сетевым папкам и принтерам с парольной защитой в разделе Control PanelAll Control Panel ItemsNetwork and Sharing CenterAdvanced sharing settings. Для All Networks (Все сети) в секции “Общий доступ с парольной защитой” (Password Protected Sharing) имените значение на “Включить общий доступ с парольной защитой” (Turn on password protected sharing). В этом случае анонимный (гостевой) доступ к папкам будет отключен и вам придется создать локальных пользователей, предоставить им доступ к сетевым папкам и принтерам и использовать эти аккаунты для подключения к общим папкам на этом компьютере.
Есть другой способ – изменить настройки вашего SMB клиента и разрешить доступ с него на сетевые папки под гостевой учетной записью.
Этот способ нужно использовать только как временный (!!!), т.к. доступ к папкам без проверки подлинности существенно снижает уровень безопасности ваших данных.
Чтобы разрешить гостевой доступ с вашего компьютера, откройте редактор групповых политик (gpedit.msc) и перейдите в раздел: Конфигурация компьютера -> Административные шаблоны -> Сеть -> Рабочая станция Lanman (Computer Configuration ->Administrative templates -> Network (Сеть) -> Lanman Workstation). Включите политику Enable insecure guest logons (Включить небезопасные гостевые входы).
В Windows 10 Home, в которой нет редактора локальной GPO, вы можете внести аналогичное изменение через редактор реестра вручную:
HKLMSYSTEMCurrentControlSetServicesLanmanWorkstationParameters “AllowInsecureGuestAuth”=dword:1
Или такой командой:
Простые атаки или ARP-SPOOFING
Нельзя не упомянуть и про старый добрый ARP-SPOOFING в контексте захвата домена. Атака основана на флуде ARP-ответов для хостов «А» и «Б» с хоста «В». Хосту «А» посылаются пакеты с утверждением, что IP-адрес «Б» принадлежит машине с маком «В». Хосту «Б» посылаются пакеты с утверждением, что IP-адрес «А» принадлежит машине с маком «В». Таким образом все пакеты идут на хост «В», который их потом пересылает по назначению. Простое описание классической атаки «человек посередине». Функционал полностью присутствует в Cain&Abel и Ettercap. В контексте предыдущих тем можно сделать такое западло: вычислить админа (трансфер зоны DNS), вычислить прокси-сервер или шлюз, устроить ARP-SPOOFING и добавить в HTML-код пакета ответа от сервера к админу (в случае, если админ пошел на какой-нибуть веб-сайт) строчку вида . То есть выполнить SMB-RELAY атаку. Для этого нужно помучаться с Ettercap, но можно поступить и проще — поднять у себя веб-сервер с SMB-RELAY модулем.
Но это еще не все. Однажды мы делали внутренний пентест небольшой сетки, где все патчено-перепатчено, и пароли были очень стойкие, а больше там ломать-то было и нечего. Так как сетка маленькая, то сервера и рабочки были в одном сегменте — радость для любого ARP-флудера. По ДНС был вычислен админ и сервер терминалов. Начался спуфинг, и тут выяснилось, что один из админов использует старую версию протокола RDP, а как немногим известно — протокол версии меньше, чем шестая, уязвим к атаке «человек посередине». Таким образом, Cain расшифровал RDP-трафик админа на сервер терминала. А с помощью тулзы для парсинга логов Cain’а был получен пароль админа домена. Такие вот истории…
Настройка дополнительного контроллера домена
Теперь в мастере установки ролей нажмите ссылку «Promote this server to a domain controller».
Выберите «Add a domain controller to an existing domain», ниже укажите имя вашего домена AD. Если вы авторизованы под обычным пользователем, вы можете изменить учетные данные на администратора домена. Нажмите кнопку «Select», откроется новое окно, выберите имя вашего домена и нажмите «Ok», затем «Next».
На странице Domain Controller Options, можно выбрать, что нужно установить роль DNS-сервера на вашем DC. Также выберите роль Global Catalog. Введите пароль администратора для режима DSRM и подтвердите его, затем нажмите кнопку «Next».
На странице Additional options укажите сервер, с которым вы хотите выполнить первоначальную репликацию базы Active Directory ( с указанного сервера будет скопирована схема и все объекты каталога AD). Вы можете сделать снимок (snapshot) текущего состояния Active Directory на одном из контроллеров домена и применить его на новой машине. После этого база AD этого сервера будет представлять собой точную копию имеющегося контроллера домена. Подробнее о функции Install From Media (IFM) – установки нового DC с носителя в одной из следующих статей (https://vmblog.ru/razvertyvanie-kontrollera-domena-s-pomoshhyu-install-from-media-ifm/):
На страницах «Paths and Review options» нам ничего не придется настраивать, пропустите их, нажав кнопку «Next». На странице «Prerequisite», если вы видите какую-либо ошибку, проверьте и выполните все указанные требования, затем нажмите кнопку «Install».
Установка Active Directory
Установка производится через Server Manager и в ней нет ничего сложного, подробно все этапы установки вы можете увидеть ниже:
Сам процесс установки претерпел некоторые изменения 6 по сравнению с предыдущими версиями ОС:
Развертывание доменных служб Active Directory (AD DS) в Windows Server 2012 стало проще и быстрее по сравнению с предыдущими версиями Windows Server. Установка AD DS теперь выполняется на основе Windows PowerShell и интегрирована с диспетчером серверов. Сократилось количество шагов, необходимых для внедрения контроллеров домена в существующую среду Active Directory.
Необходимо выбрать только роль Доменные службы Active Directory, никакие дополнительные компоненты устанавливать не нужно. Процесс установки занимает незначительно время и можно сразу переходить к настройке.
HASH и токены
Захват рабочей станции или сервера — это уже полдела. Но что же дальше? Как уже писалось выше, «Компьютер — это сеть». Данное правило применимо и для домена. Если был захвачен хоть один компьютер домена, можно с большой вероятностью говорить о захвате всего домена. В чем дело? А дело в доверенной системе, на которой основана сеть и система безопасности, как на уровне ОС, так и на уровне домена. Итак, что же делать на захваченном хосте в первую очередь? Сначала самое главное — понять свои права. В ряде случаев это будет NT AUTHORITYSYSTEM, в других — доменная учетная запись с небольшими правами. Но так или иначе на первом этапе нам нужны именно права системы, так что если мы их не имеем, то следует их получить. Получить их можно, например, прямо из метерпретера, в котором есть простая команда getsystem. Данный модуль попробует поднять права в ОС, используя уязвимости MS09-012, нашумевший MS10-015 (KiTrap0D) и не только. Однако в большинстве случаев желательно, чтобы пользователь был в группе локальных админов — например, чтобы имперсонализироваться (об этом позже).
Системные права нам нужны для того, чтобы выдрать все самое ценное из недр ОС, а именно NTLM хэши, и список токенов безопасности. Зачем нам хэши? Чтобы брутить их? Нет. Чтобы использовать их. Дело в том, что для аутентификации в домене очень часто не нужен пароль — ведь винда не спрашивает пассворд каждый раз, когда ты идешь на какую-нибудь шару в домене. Реализовано это с помощью NTLM Chalenge response аутентификации. Дело в том, что для такой аутентификации знания пароля не нужно, достаточно только значения хэша. Фактически об этой проблеме было известно с середины 90-х, но с годами мало что поменялось. Поэтому, достав хэши, ты можешь спокойно ходить по домену с правами пользователя. Более подробно о хэшах можно почитать в статье Антона Карпова aka toxa. Я же расскажу про реальную историю захвата домена.
Был, значит, получен доступ к компьютеру веб-девелопера через SQL-инъекцию на его веб-стенде. Сервак был MSSQL, учетка — SA. Соответственно, через xp_cmdshell был закачан и запущен meterpreter, получен полноценный доступ с правами SYSTEM. Но ничего особо ценного для захвата домена на этом компе не нашлось, поэтому были изъяты хэши учетки программиста. Как известно, хэши хранятся в ОС во многих местах, но самое вкусное — это кэш LSA, который «помнит» хэши последних юзеров. В любом случае есть еще и SAM-база. Автор советует использовать утилиты gsecdump и wce, с помощью которых можно полноценно дампить нужные хэши. А с этими хэшами уже лазить по домену, где, кстати, был найден принт-сервер. Учетка программиста состояла в группе, у которой были права на печать на одном из принтеров сервера. Используем хэши-учетки для модуля метасплойта, который эксплуатирует MS10-061.
Эксплойт MS10-061, запущенный от имени программиста, дал системный доступ к принт-серверу, где уже были найдены процессы с токенами администратора домена. Получается цепочка атак, которая приводит к захвату домена.
Итак, мы попали на принт-сервер с правами системы, но мы еще не админы домена, однако я упомянул выше про токены. Токен — это объект ОС, который создается при логоне и дается каждому процессу, запущенному юзером. Этот токен — лакомый кусочек. В нашем случае админ домена запустил какие-то процессы на принт-сервере, а у нас права системы на этом же сервере — соответственно мы имеем привилегии SeImpersonate и можем спокойно использовать существующий токен «делегирования» (несмотря на патч MS09-012, который тут как бы не о чем).
Выглядит это довольно просто:
После того, как мы выполнили имперсонализацию, система будет использовать права украденной учетки. То есть, мы стали админом домена. Соответственно, выполняем:
Команды исполнятся, и у контроллера домена появится новый администратор (кстати, не рекомендую так делать, так как в нормальных компаниях такой пользователь сразу будет обнаружен). Мораль истории такова: любая, даже самая маленькая дырочка, на самом незначительном сервере или рабочке может привести к захвату домена, так как «компьютер — это сеть»…
Симптомы
В контроллере домена Microsoft Windows Server 2003 или на Windows Server 2008 пользователи, не управляющие, могут испытывать один или несколько следующих симптомов:
-
После того как определенному пользователю или определенной группе будет предоставлено разрешение на добавление или удаление компьютерных объектов в домен в организационном подразделении (OU) через мастер делегирования, пользователи не могут добавить некоторые компьютеры в домен. Когда пользователь пытается присоединиться к компьютеру к домену, пользователи могут получить следующее сообщение об ошибке:
Примечание
Администраторы могут присоединять компьютеры к домену без каких-либо проблем.
-
Пользователи, которые являются членами группы операторов учетных записей или которым делегирован контроль, не могут создавать новые учетные записи пользователей или сбрасывать пароли при входе на локальном уровне или при входе через службы терминала в контроллер домена.
При попытке сброса пароля пользователи могут получить следующее сообщение об ошибке:
Когда пользователи пытаются создать новую учетную запись пользователя, они получают следующее сообщение об ошибке:
Fix-1 Создайте новую конфигурацию DNS-
Добавление адресов DNS-серверов может вам помочь.
1. Вы можете легко получить доступ к Бегать окна, одновременно нажав клавиши Windows+R.
2. Введите «ncpa.cpl» в этом Бегать окно и нажмите Enter.
То Услуги появится окно.
3. Теперь в списке адаптеров Двойной клик на адаптере, который вы используете.
4. Теперь в разделе «В этом соединении используются следующие элементы:“, Двойной клик в опции «Протокол Интернета версии 4 (TCP/IPv4)».
5. В Свойства версии интернет-протокола (TCP/IPv4) нажмите «Дополнительно», чтобы изменить его.
6. Теперь в Расширенные настройки TCP/IP окно, перейдите на вкладку «DNS».
7. Затем введите DNS адреса серверов в поле ниже ‘Адреса DNS-серверов в порядке использования:‘. Затем нажмите «Добавить…».
8. Наконец, нажмите «ОК», чтобы сохранить изменения на вашем компьютере.
После этого перезагрузите компьютер, чтобы сохранить изменения на вашем компьютере.
После перезагрузки компьютера попробуйте снова добавить рабочую станцию. Если ошибка не устранена, перейдите к следующему исправлению.
Сеть
Как говаривали в Sun: «Компьютер — это сеть», поэтому рассмотрим простейшую сеть. Самое главное, как ты уже понял, это контроллер домена. Это сердце сети. Контроллер отвечает за аутентификацию, доменные имена машин, политики для серверов и рабочих станций. То есть за все. Кроме основного сервера могут быть еще машинки, необходимые для организации бизнес-задач компании: почта, терминалки, базы данных и так далее. Потом идут рабочие станции. В простейшем (читай — худшем) случае вся эта тусовка располагается в одном сегменте сети. Как правило, если мы говорим о небольших компаниях, то так оно и есть. В больших компаниях все не так просто: в дело вступают сетевые устройства, которые разбивают сеть на сегменты, пропиливая дырки из сегмента в сегмент для нужных протоколов, сетей и серверов. Во всем этом благополучии часто бывает и Wi-Fi роутер, который дает доступ в сеть для любителей ноутбуков (кстати, именно роутер и становится основной точкой входа в сеть для плохих парней, но не он один). Атаки на браузер и плагины к нему — самый популярный способ проникнуть из интернета в сеть компании или банка. Кроме всего перечисленного, еще остаются варианты с троянами, подключениями к LAN через плохо контролируемые порты и, в конце-концов, банальный инсайд. В любом случае, все это выходит за рамки статьи, но понимать, что безопасность домена дело не последнее — все же необходимо.
Fix-2 Перезапустите службу DNS-
Перезапуск DNS служба может решить ситуацию.
1 — Поиск CMD в окне поиска Windows.
2 — Щелкните правой кнопкой мыши результат поиска и выберите «Запуск от имени администратора».
Командная строка откроется окно с правами администратора.
7. Чтобы остановить кэш DNS, напишите эту команду в CMD а затем нажмите Enter.
net stop dnscache
3. Теперь, чтобы перезапустить кеш DNS, как и раньше, копировать эта команда и вставить это в CMD и нажмите «Ввод».
net start dnscache
После этого закройте Командная строка окно.
Перезагрузите компьютер, чтобы изменения вступили в силу.
После перезагрузки попробуйте снова подключиться к рабочей станции. Ваша проблема должна быть решена.
Решение
-
Убедитесь, что служба распространения ключей запущена на целевом контроллере домена
Откройте центр распространения ключей Kerberos, к который вы обращались. Его можно обнаружить с помощью программы записи пакетов, например Network Monitor 3.4 (доступно здесь).)
-
Используйте сетевой монитор для записи воспроизводимого сообщения об ошибке. (Сначала может потребоваться остановить службу DNS-клиента, чтобы отобразить трафик запросов DNS)
-
Просмотрите запись пакетов для запроса DNS для KDC: примеры запросов адресов:
_Kerberos. Tcp.< SiteName>._sites.dc._msdcs.< Domain.com>
_kerberos._tcp.dc._msdcs.< Domain.com> -
Проверьте любой трафик :
Пример записи сетевого монитора 3.4 трафика DcLocator. В этом примере 10.0.1.11 — это обнаруженный KDC, а 10.0.1.10 — клиент, запрашивая билет. Он использует макет столбца сетевого монитора по умолчанию.Рамки # Время и дата Смещение времени Исходный IP-адрес Конечный IP-адрес Details 42 3/7/2012 3.6455760 10.0.1.10 10.0.1.11 LDAPMessage: поисковый запрос, MessageID: 371 *** Этот пакет является вызовом UDP LDAP для указателя контроллера домена, который ищет Netlogon*** 43 3/7/2012 3.6455760 10.0.1.11 10.0.1.10 NetLogon:LogonSAMPauseResponseEX (ответ SAM при приостановке Netlogon): 24 (0x18) -
Убедитесь, что KDC и службы версии 10.10.1.11 запущены.
На обнаруженном контроллере домена (10.0.1.11) проверьте состояние KDC и службы с помощью запроса SC.Пример запроса к службе KDC с помощью: «SC Query KDC» и службы с: «SC Query Netlogon» Эти команды должны возвращать «State: Running»
-
-
Убедитесь, что конечным контроллером домена является «Реклама как центр распространения ключей».
Используйте DCDIAG.exe, чтобы убедиться, что конечный контроллер домена является рекламным. В CMD.exe командной строки выполните следующую команду:Убедитесь, что контроллер домена проходит тесты Advertising и SYSVOLCHeck и объявляется как центр распространения ключей и готов. Если сервер не готов, он не сможет объявить его в качестве контроллера домена.
-
Убедитесь, что исходный и целевой компьютер находятся в пределах 5 минут друг от друга.
-
Проверка на наличие ошибок Kerberos
- Включите ведение журнала событий Kerberos на клиентском компьютере и контроллерах домена на сайте.
- Статья базы знаний 262177 Как включить ведение журнала событий Kerberos
- Устранение неполадок Kerberos
DNSLint
Утилита DNSLint из набора утилит Support Tools — малоизвестный инструмент, позволяющий диагностировать наиболее общие DNS-проблемы, связанные с некорректным делегированием или некорректными или отсутствующими записями DNS для домена. Если запустить ее надлежащим образом, она проанализирует весь домен и все серверы DNS внутри него на предмет ошибок в структуре DNS. Как большинство утилит, описываемых в данной статье, DNSLint имеет собственные уникальные параметры и ключи. Во многих ситуациях нам требуется провести проверку (чаще внутреннего) домена с использованием указания ключа /s DNS server IP address, поскольку он исключает просмотр Internet-части домена. DSLint создает отчет в формате HTML в файле с именем dnslint.htm. Чтобы получить отчет в текстовом формате вместо HTML — формата по умолчанию (возможно, для того чтобы использовать сценарий для процесса вывода), можно задать параметры /t и /no_open.
DNSLint покажет всю свою мощь при использовании ключа /ad для запуска тестов AD DNS. Ключ /ad запускает серию опрашивающих Active Directory запросов о правильной регистрации GUID на контроллерах домена леса, регистрации записей типа Start of Authority (SOA), Name Server (NS) и о зарегистрированных SRV-записях. Во время использования этого параметра необходимо задать IP-адрес контроллера домена, который отвечает за корневой домен леса. Также можно задействовать ключ /s для исключения просмотра зоны InterNIC. Обычно применяется тот же IP-адрес сервера, который использовался для параметра /ad. Поэтому команда будет выглядеть так:
Этот ключ проверяет записи DNS, которые представляют собой записи типа А в корневом домене. Эти записи содержат информацию о серверах DNS, ответственных за дочерние домены. Чтобы настроить DNSLint для выполнения конкретной задачи, указать DNS-серверы и запустить соответствующие тесты, можно использовать ключ /ql. Если добавить параметр autocreate после ключа /ql, то DNSLint создаст пример файла конфигурации с именем in-dnslint.txt. После этого можно будет задействовать этот файл для дальнейшей настройки.
Примеры:<IP адрес контроллера домена><IP адрес контроллера домена> <IP адрес того же контроллера домена>