Как восстановить связь между Windows 11 24h2 и server 2003?

Question

[ruskella]

Здравствуйте, подскажите, обновились ОС Windows 11 до 24H2, после чего перестала работать связь с Active Directory, хотя ввести в домен можно, вывести можно, а идентификация не выполняется (пишет что не правильный пароль). Так же не даёт заводить пользователей в группы пользователей.
Контроллер домена крутится на Windows Server 2003 R2 SP2.

Возможно ли восстановить корректную связь между сервером и компьютером?

gpupdate

gpupdate /force
Выполняется обновление политики...

Не удалось успешно обновить политику компьютера. Обнаружены следующие ошибки:

Сбой обработки групповой политики из-за отсутствия сетевого подключения к контроллеру домена. Это может быть временным явлением. Как только компьютеру удастся подключиться к контроллеру домена и групповая политика будет обработана успешно, будет создано сообщение об успехе. Если это сообщение не появляется в течение нескольких часов, обратитесь к администратору.
Не удалось успешно обновить политику пользователя. Обнаружены следующие ошибки:

Сбой обработки групповой политики из-за отсутствия сетевого подключения к контроллеру домена. Это может быть временным явлением. Как только компьютеру удастся подключиться к контроллеру домена и групповая политика будет обработана успешно, будет создано сообщение об успехе. Если это сообщение не появляется в течение нескольких часов, обратитесь к администратору.

Чтобы диагностировать сбой, просмотрите журнал событий или запустите GPRESULT /H GPReport.html из командной строки для просмотра сведений о результатах групповой политики.

GPRESULT /R
ИНФОРМАЦИЯ: Пользователь не имеет данных RSoP.

Answer 1

[Alexey Dmitriev]

Чтобы восстановить "корректную связь между сервером и компьютером", необходимо поднять уровень домена и леса Active Directory хотя бы до минимального по требованиям к Windows 11 24H2.
Ну и не использовать в инфраструктуре ОС, снятые с поддержки 10 лет назад.

Comments

[ruskella]

Подскажите, где найти информацию о требованиях?

[Alexey Dmitriev]

ruskella, у системного администратора спросить. А он если не знает, в Гугле найдет вам.

[Alexey Dmitriev]

ruskella и совет вам, если вы типа сисадмин - не беритесь обновлять контроллер домена и версии леса домена по инструкциям из интернета, с вашими знаниями это может плохо кончиться. А судя по тексту контроллер домена в организации ещё ещё и один.

[ruskella]

Alexey Dmitriev, почему сложно дать совет, где найти информацию?

[Alexey Dmitriev]

ruskella, в Гугле-этл как раз ПОИСКОВАЯ система. Или на курсах логики. Вы не находите не логичным использовать вместе ОС созданную полгода назад и 20 лет назад?

[ruskella]

Alexey Dmitriev, мы используем логику или документацию к продукту? Ранее вы говорили, что есть требования, хорошо, я и уточняю, какие требования, где их можно увидеть. Возможно я изучил эти требования, но воспринял их иначе, чем вы

[MVV]

Чтобы восстановить "корректную связь между сервером и компьютером", необходимо поднять уровень домена и леса Active Directory хотя бы до минимального по требованиям к Windows 11 24H2.

Alexey Dmitriev , функциональные уровни домена или леса тут не при чем от слова "совсем": они касаются исключительно взаимодействия КД между собой. Так что я ващще не понимаю, зачем вы полезли отвечать, не только не зная ничего полезного - ответа или способа дополнительной диагностики, но ещё и не понимая, что ваш ответ - заведомо неверный.

ruskella, "при чем" тут могут быть протоколы аутентификации. Сообщение о неверном пароле неинформативно - оно по любому поводу выдается одно и то же. Для диагностики следует смотреть, во-первых, ошибки в журнале событий системы клиентского ПК от источника Netlogon ("Сетевой вход в систему"), во-вторых сообщения аудита неуспешного обращения к службе каталогов (это не то же самое, что аудит входа в систему) в журналах событий безопасности на КД (возможно, перед этим потребуется включить этот аудит через политику для контроллеров доменов - Default Domain Controller Policy. Если это не поможет, стоит включить через на ПК ведение журнала службы сетевого входа в систему и искать ошибки в этом журнале (C:\WINDOWS\Debug\netlogon.log, если не сможете найти ссылку как включить сами - помогу).
Предположительная причина проблемы - у учетной записи в AD не осталось ключа Kerberos зашифрованного алгоритмом, совместимым с Win11).
PS Если отроете причину сами - напишите, пожалуйста ответ.

[kisaa]

Тут пишут - SMB1 надо включить:
https://community.spiceworks.com/t/can-win-11-pro-...
Если только в последнем обновлении 11-ки её не выпилили:
https://techcommunity.microsoft.com/blog/filecab/a...

[Alexey Dmitriev]

MVV, какой вы категоричный.
Давайте тогда во-первых заглянем в описания изменений уровней, найдем нам описание 2012 уровня, и в частности вот это, что для начала явным образом влияет не на "исключительно взаимодействия КД между собой":
"DC-side protections for Protected Users. When Protected Users authenticate to a Windows Server 2012 R2 domain, they're no longer able to:
Authenticate with NTLM authentication
Use DES or RC4 cipher suites in Kerberos preauthentication"
А во-вторых, все-таки включим логику, от которой отказался автор вопроса, и подумаем - а вдруг вон тот, кто "не только не зная ничего полезного - ответа или способа дополнительной диагностики, но ещё и не понимая, что ваш ответ - заведомо неверный" все-таки что-то умное говорит.
Но это я так-можно сказать в порядке бреда, ни в коем случае не повод для дальнейшей дискуссии.

[ruskella]

Alexey Dmitriev, Почему вы такой категоричный? Ну старый сервер, ну свежая ОС, при чём тут логика что они 100% не совместимы? Вышла бы win 12 и сразу бы не работало, другой вопрос. Судя вашей логики, нужно каждые 5 лет менять КД под свежие ОС. Всё-таки надо основываться на документ.
То что вы указали, нашёл, можно сразу было указать, если так не хотите общатья с людьми, зачем тогда отвечаете? Я не удивлюсь, что данный вопрос возник только у меня 1-го. У компаний не такой большой бюджет, для постоянного обновления парка серверов и ПК.

[Alexey Dmitriev]

ruskella, потому, что если вас ткнуть носом в конкретное решение, вы так и останетесь тем, кто не умеет гуглить, изучать списки изменений и делать выводы, оценивать общие картины в инфраструктуре и риски, а будет просить "основываться на документ", держать один контроллер домена в инфре и не понимать - что обновлять клиентскую ОС в инфре на свежайшую версию, при этом держать 20 летнюю ОС на серверах и никак не изучив влияние заявленных в обновлении изменений - это не профессионально.
А причина моей категоричности в том, что тут и так минимум 50% вопросов такого же уровня, а мне не очень хочется не то, что на них отвечать, но даже видеть их здесь.

[MVV]

Но это я так-можно сказать в порядке бреда, ни в коем случае не повод для дальнейшей дискуссии.

Alexey Dmitriev, дискуссия тут нужна, потому что вы, вместо того, чтобы дать прямой ответ - а ваш ответ по сути означает "клиент под Win11 24H2 не может аутентифицироваться на КД под Win2K3 - не только не приводите в подтверждение вашего ответа ничего, кроме вашей версомании (это - болнзненное стремление использовать всегда новейшую версию ПО), но ещё и пытаетесь принизить автора вопроса. Первое = это было бы ещё простительно (от версомании ещё никто не помирал), но вот второе я считаю нежелательным и портящим атмосферу ресурса. Впрочем, можете пожаловаться администрации - вдруг я не прав, и ей желателен максимально токсичный характер ресурса?

[MVV]

"Если только в последнем обновлении 11-ки её не выпилили:"
kisaa, там пишут, не что SMB1 выпилили, а что в 24H2 нельзя ииспользовать гостевой доступ (который - не про случай автора вопроса) и что нужно включить SMB Signing (если чо, то на Win2K3 это сделать можно ЕМНИП).

[MVV]

Судя вашей логики, нужно каждые 5 лет менять КД под свежие ОС.

ruskella, менять нужно по причинетого, что по истечении определенного срока ОС снимается с поддержки. И, случись что, вам служба поддержки вендора не поможет, и проблему нужно решать своими силами. А у вас - как раз, случилось. Что с этим теперь делать - решайте сами. Я бы занялся диагностикой, как написал выше. Но мне-то такие советы давать лего - я-то в диагностику умею - но не только лишь все умеют заниматься дииагностикой.
Возможно, в вашем случае повышение версии КД было бы как раз разумным выходом - это решать вам. Если решите пойти по этому пути, то у меня есть два совета: во-первых, не пытайтесь обновлять КД по месту, а лучше добавьте второй КД на новом железе (в домен Win 2K3 можно добавить КД вплоть до Win2016 исходной версии, выше уже нельзя без дополнительной операции - миграции репликации SYSVOL на DFSR). Во-вторых, прежде чем понижать старый КД, убедитесь, что новый КД работает полноценно - отключите на время старый и посмотрите, всё ли работает. Включая политики - в случаях подобных вашему часто не происходит репликация файлов групповых политик на SYSVOL. Ну и, есть полезная команда для проверки КД - dcdiag, только используйте для проверки КД версию для той ОС, которая стоит на этом КД: там время от времени происходят изменения.

[Ziptar]

ruskella,
> почему сложно дать совет, где найти информацию?

Потому что если вы не в состоянии найти подобную информацию самостоятельно - вы профнепригодны, только и всего.

[ruskella]

MVV,
1. https://disk.yandex.ru/d/JIhSHIuJAagmtw -

spoiler

02/12 18:48:13 [MISC] [3396] NetpDcInitializeContext: DSGETDC_VALID_FLAGS is c3fffff1
02/12 18:48:13 [MISC] [3396] NetpDcGetName: mydomain.local. using cached information ( NlDcCacheEntry = 0x0000027F2EBFEA90 )
02/12 18:48:13 [MISC] [3396] DsGetDcName: results as follows: DCName:\\my-BDC.mydomain.local DCAddress:\\10.10.10.11 DCAddrType:0x1 DomainName:mydomain.local DnsForestName:mydomain.local Flags:0xe00001f8 DcSiteName:Default-First-Site-Name ClientSiteName:Default-First-Site-Name
02/12 18:48:13 [MISC] [3396] DsGetDcName function returns 0 (client PID=-1): Dom:(null) Acct:(null) Flags: RET_DNS
02/12 18:48:13 [ERROR] [3396] NetpLdapBind: ldap_bind failed on my-BDC.mydomain.local: 49: Неправильные учетные данные
02/12 18:48:13 [MSA] [3396] NetrEnumerateServiceAccounts: Failed to LDAP bind as SYSTEM
02/12 18:48:13 [MISC] [3396] NlWksScavenger: Can be called again in 15 minutes (0xdbba0)
02/12 18:48:15 [MISC] [2816] DsGetDcName function called: client PID=804, Dom:mydomain Acct:(null) Flags: DS WRITABLE NETBIOS RET_DNS

2. Странно, 2 записи идут рядом 1501 и 1129:

spoiler

Параметры групповой политики для этого пользователя обработаны успешно. Не обнаружено изменений со времени последней успешной обработки групповой политики.

Сбой обработки групповой политики из-за отсутствия сетевого подключения к контроллеру домена. Это может быть временным явлением. Как только компьютеру удастся подключиться к контроллеру домена и групповая политика будет обработана успешно, будет создано сообщение об успехе. Если это сообщение не появляется в течение нескольких часов, обратитесь к администратору.

3. SMBv1 разумеется включен на Win11, так же включал/отключал шифрование

4. Аудит отказа 5061:

spoiler

Идентификатор входа в систему: 0x63787

Криптографические параметры:
Имя поставщика: Microsoft Software Key Storage Provider
Имя алгоритма: ECDSA_P256
Имя ключа: Microsoft Connected Devices Platform device certificate
Тип ключа: Ключ пользователя.

Операция шифрования:
Операция: Создать ключ.
Код возврата: 0x80090345

Криптографические параметры:
Имя поставщика: Microsoft Software Key Storage Provider
Имя алгоритма: UNKNOWN
Имя ключа: Microsoft Connected Devices Platform device certificate
Тип ключа: Ключ пользователя.

Операция шифрования:
Операция: Открыть ключ.
Код возврата: 0x80090016

5. Источник NTLM 4014:

spoiler

Attempt to get credential key by call package blocked by Credential Guard.

Calling Process Name:
Service Host Tag:

Различными способами отключал Credential Guard, не помогло. На настройки тоже не реагирует.

6. Шифрование SMB включал / выключал, ни какой реакции

Answer 2

[Роман Безруков]

Контроллер, видимо, в единственном числе (случайно не Small Business Server 2003 ?).
Поддержка Windows Server 2003 (даже расширенная) закончилась 10 лет назад. С тех пор в более актуальных системах произошло огромное количество изменений в плане безопасности - изменение/отключение алгоритмов шифрования, различных фич и компонентов (SMBv1, NTLMv1,..) и т.д. Вы же берете самую свежую клиентскую ОС и пытаетесь ее скрестить с "динозавром" - да, возможно, это и получится путем включения устаревших алгоритмов/компонентов (если они не удалены из кодовой базы) для совместимости с устаревшими ОС. Так вы решите одну-две проблемы сейчас, а сколько их еще появится в будущем?
Возможно, вашу проблему решит добавление ключа в реестре на КД (перезагрузка не требуется):

HKLM:\SYSTEM\CurrentControlSet\Services\Kdc\DefaultDomainSupportedEncTypes со значением 0x7

In our case this solution solved the problem that was caused by some more recent Microsoft updates that disable RC4 encoding for Kerberos. One of our servers in local domain still required RC4 for authentication and by following exactly the instructions of this article and setting HKLM:\SYSTEM\CurrentControlSet\Services\Kdc\DefaultDomainSupportedEncTypes to 0x7 on domain controller restored access to still very much needed other server in local domain.

либо второй вариант: в свойствах конкретного доменного ПК поставить значение атрибута msDS-SupportedEncryptionTypes равным 7.
Но все это временные решения (допускаю, что могут не сработать). По-хорошему - обновляйте свой КД до актуальной версии и добавляйте второй КД.
Внеклассное чтение:
Network security: Configure encryption types allow...
Temporarily allow Kerberos authentication to Windo...

Comments

[ruskella]

Спасибо, как ни странно это я тоже читал, но видать не допонял. КД не 1 шука, а больше, но оба 2003. Ещё не так давно всё работало, скорее всего именно 24H2 повлияло на это.

Answer 3

[whrs_mmnd]

в конечном итоге у Вас что-то вышло?

Comments

[ruskella]

Нет. Я так понимаю, я не одинок в старом зоопарке?

[whrs_mmnd]

ruskella, нет, идут третьи сутки, как я пытаюсь поженить 2003r2 и win11 24h2.
обидно, но, кажется, придется бросить эту затею.

[ruskella]

whrs_mmnd, пока я вывел такие требования, но оно не помогло
1. SMBv1 наверное надо включить
2. Возможно должна быть подпись по SMB
3. NTLMv1 желательно выключить. Вообще 2003 сервер по NTLMv2 и по kerberos умеет работать, так что этот пункт не должен был быть критичным. Опять же, есть настройка по умолчанию, а есть установленная в ручную и она обычно работала. Об этом сказано во всех руководствах.
4. Настройка типов шифрования Kerberos. В 2003 используется DES_CBC_CRC, DES_CBC_MD5, RC4_HMAC_MD5

Если будет результат, сообщите. А пытались анализировать логи?