Fórum Root.cz

Hlavní témata => Windows a jiné systémy => Téma založeno: ZAJDAN 05. 03. 2018, 08:50:16

Název: Windows Server 2008 - AD/DC LDAP signing
Přispěvatel: ZAJDAN 05. 03. 2018, 08:50:16: Ahoj,
zapnuj jsem na serveru (Windows 2008 R2) kde beží ActiveDirectory/DomainController LDAP signing
klienti s windows 7/10 se v pořádku přihlašují, ale po rebootu stanice s win XP probíhá start extrímně dlouho(15min).

Je potřeba takovéto klienty nějak ponastavit?
díky
Název: Re:Windows Server 2008 - AD/DC LDAP signing
Přispěvatel: alshajmr 05. 03. 2018, 09:32:56: co trva dlouho? Start samotneho xp os nebo prihlaseni?
Název: Re:Windows Server 2008 - AD/DC LDAP signing
Přispěvatel: ZAJDAN 05. 03. 2018, 10:08:37: Citace: alshajmr 05. 03. 2018, 09:32:56
co trva dlouho? Start samotneho xp os nebo prihlaseni?
fáze připojování k síti, kdy se to ještě ani neptá na login cca 15 minut
a i po zadání loginu je čas neobvykle znatelně delší 5 minut
Název: Re:Windows Server 2008 - AD/DC LDAP signing
Přispěvatel: Miroslav Šilhavý 05. 03. 2018, 10:10:41: To už bude velmi těžké spravovat pro XP, když už jsou nepodporované. Pomalu mizí i možnosti dohledat něco v KB. Začal bych asi prohlížečem událostí na XP stanici a na serveru v téže době, tam by mělo být vidět, na jaké operaci to visí.
Název: Re:Windows Server 2008 - AD/DC LDAP signing
Přispěvatel: ByCzech 05. 03. 2018, 10:33:49: S největší pravděpodobností by mělo pomoct toto: https://www.imss.caltech.edu/node/396 - Samba od určité verze má podobný problém. Zkonfigurováním XP na používání primárně NTLM2 se to vyřeší.
Název: Re:Windows Server 2008 - AD/DC LDAP signing
Přispěvatel: M. 05. 03. 2018, 10:57:17: Ono půjde asi i o to, že XPčka v základu jdou do AD řadiče pomocí LDAP protokolu, po zapnutí LDAP signing začne akceptovat server jen LDAPS / STARTTLS připojení a holý LDAP odmítat.
Takže první bod je mít v XPčkách i správný CA certifikát pro ověření certifikátu serveru. Na to bylo pro XPčka i utilitka, kterou se dalo ověřit, že to LDAPS připojení funguje jak má. Jestli se v XPčkách nějak muselo i výslovně zapínat použití LDAPS, tak to si už nevzpomínám (ať už lokálně nebo přes GPO)...
Název: Re:Windows Server 2008 - AD/DC LDAP signing
Přispěvatel: Lol Phirae 05. 03. 2018, 11:06:04: Citace: ZAJDAN 05. 03. 2018, 08:50:16
Je potřeba takovéto klienty nějak ponastavit?

0/ Format C:
1/ Nainstalovat podporovaný OS.
Název: Re:Windows Server 2008 - AD/DC LDAP signing
Přispěvatel: ZAJDAN 06. 03. 2018, 05:46:24: Citace: ByCzech 05. 03. 2018, 10:33:49
S největší pravděpodobností by mělo pomoct toto: https://www.imss.caltech.edu/node/396 - Samba od určité verze má podobný problém. Zkonfigurováním XP na používání primárně NTLM2 se to vyřeší.
díky kluku! zabralo to! :_)
Název: Re:Windows Server 2008 - AD/DC LDAP signing
Přispěvatel: ZAJDAN 06. 03. 2018, 05:48:32: Citace: M. 05. 03. 2018, 10:57:17
Ono půjde asi i o to, že XPčka v základu jdou do AD řadiče pomocí LDAP protokolu, po zapnutí LDAP signing začne akceptovat server jen LDAPS / STARTTLS připojení a holý LDAP odmítat.
Takže první bod je mít v XPčkách i správný CA certifikát pro ověření certifikátu serveru. Na to bylo pro XPčka i utilitka, kterou se dalo ověřit, že to LDAPS připojení funguje jak má. Jestli se v XPčkách nějak muselo i výslovně zapínat použití LDAPS, tak to si už nevzpomínám (ať už lokálně nebo přes GPO)...
Dočetl jsem se na Microsoftu, že předání credentials lze v tomto případě i bez certifikátu, ten je 'Optional'
Název: Re:Windows Server 2008 - AD/DC LDAP signing
Přispěvatel: Lol Phirae 06. 03. 2018, 08:54:35: Citace: ZAJDAN 06. 03. 2018, 05:48:32
Dočetl jsem se na Microsoftu, že předání credentials lze v tomto případě i bez certifikátu, ten je 'Optional'

Jistě, není nad to si všude vyrobit spoustu děr kvůli nějakému šrotu s mrtvým OS.