Windows Server 2008 - AD/DC LDAP signing

ZAJDAN · « **kdy:** 05. 03. 2018, 08:50:16 »

Ahoj,
zapnuj jsem na serveru (Windows 2008 R2) kde beží ActiveDirectory/DomainController LDAP signing
klienti s windows 7/10 se v pořádku přihlašují, ale po rebootu stanice s win XP probíhá start extrímně dlouho(15min).

Je potřeba takovéto klienty nějak ponastavit?
díky

Reklama

alshajmr · « **Odpověď #1 kdy:** 05. 03. 2018, 09:32:56 »

co trva dlouho? Start samotneho xp os nebo prihlaseni?

ZAJDAN · « **Odpověď #2 kdy:** 05. 03. 2018, 10:08:37 »

Citace: alshajmr 05. 03. 2018, 09:32:56

co trva dlouho? Start samotneho xp os nebo prihlaseni?

fáze připojování k síti, kdy se to ještě ani neptá na login cca 15 minut
a i po zadání loginu je čas neobvykle znatelně delší 5 minut

Miroslav Šilhavý · « **Odpověď #3 kdy:** 05. 03. 2018, 10:10:41 »

To už bude velmi těžké spravovat pro XP, když už jsou nepodporované. Pomalu mizí i možnosti dohledat něco v KB. Začal bych asi prohlížečem událostí na XP stanici a na serveru v téže době, tam by mělo být vidět, na jaké operaci to visí.

ByCzech · « **Odpověď #4 kdy:** 05. 03. 2018, 10:33:49 »

S největší pravděpodobností by mělo pomoct toto: https://www.imss.caltech.edu/node/396 - Samba od určité verze má podobný problém. Zkonfigurováním XP na používání primárně NTLM2 se to vyřeší.

Reklama

M. · « **Odpověď #5 kdy:** 05. 03. 2018, 10:57:17 »

Ono půjde asi i o to, že XPčka v základu jdou do AD řadiče pomocí LDAP protokolu, po zapnutí LDAP signing začne akceptovat server jen LDAPS / STARTTLS připojení a holý LDAP odmítat.
Takže první bod je mít v XPčkách i správný CA certifikát pro ověření certifikátu serveru. Na to bylo pro XPčka i utilitka, kterou se dalo ověřit, že to LDAPS připojení funguje jak má. Jestli se v XPčkách nějak muselo i výslovně zapínat použití LDAPS, tak to si už nevzpomínám (ať už lokálně nebo přes GPO)...

Lol Phirae · « **Odpověď #6 kdy:** 05. 03. 2018, 11:06:04 »

Citace: ZAJDAN 05. 03. 2018, 08:50:16

Je potřeba takovéto klienty nějak ponastavit?

0/ Format C:
1/ Nainstalovat podporovaný OS.

ZAJDAN · « **Odpověď #7 kdy:** 06. 03. 2018, 05:46:24 »

Citace: ByCzech 05. 03. 2018, 10:33:49

S největší pravděpodobností by mělo pomoct toto: https://www.imss.caltech.edu/node/396 - Samba od určité verze má podobný problém. Zkonfigurováním XP na používání primárně NTLM2 se to vyřeší.

díky kluku! zabralo to! :_)

ZAJDAN · « **Odpověď #8 kdy:** 06. 03. 2018, 05:48:32 »

Citace: M. 05. 03. 2018, 10:57:17

Ono půjde asi i o to, že XPčka v základu jdou do AD řadiče pomocí LDAP protokolu, po zapnutí LDAP signing začne akceptovat server jen LDAPS / STARTTLS připojení a holý LDAP odmítat.
Takže první bod je mít v XPčkách i správný CA certifikát pro ověření certifikátu serveru. Na to bylo pro XPčka i utilitka, kterou se dalo ověřit, že to LDAPS připojení funguje jak má. Jestli se v XPčkách nějak muselo i výslovně zapínat použití LDAPS, tak to si už nevzpomínám (ať už lokálně nebo přes GPO)...

Dočetl jsem se na Microsoftu, že předání credentials lze v tomto případě i bez certifikátu, ten je 'Optional'

Lol Phirae · « **Odpověď #9 kdy:** 06. 03. 2018, 08:54:35 »

Citace: ZAJDAN 06. 03. 2018, 05:48:32

Dočetl jsem se na Microsoftu, že předání credentials lze v tomto případě i bez certifikátu, ten je 'Optional'

Jistě, není nad to si všude vyrobit spoustu děr kvůli nějakému šrotu s mrtvým OS.

Windows Server 2008 - AD/DC LDAP signing

ZAJDAN

Windows Server 2008 - AD/DC LDAP signing

Reklama

alshajmr

Re:Windows Server 2008 - AD/DC LDAP signing

ZAJDAN

Re:Windows Server 2008 - AD/DC LDAP signing

Miroslav Šilhavý

Re:Windows Server 2008 - AD/DC LDAP signing

ByCzech

Re:Windows Server 2008 - AD/DC LDAP signing

Reklama

M.

Re:Windows Server 2008 - AD/DC LDAP signing

Lol Phirae

Re:Windows Server 2008 - AD/DC LDAP signing

ZAJDAN

Re:Windows Server 2008 - AD/DC LDAP signing

ZAJDAN

Re:Windows Server 2008 - AD/DC LDAP signing

Lol Phirae

Re:Windows Server 2008 - AD/DC LDAP signing