Отказано в доступе к каталогам NETLOGON и SYSVOL из Windows 10
Заметил некоторые странности при доступе к каталогам SYSVOL и NETLOGON в домене из Windows 10 / Windows Server 2016. При доступе к контроллеру домена с клиента по UNC пути \\ \SYSVOL или по IP адресу контроллера домена \\192.168.1.10\Netlogon появляется ошибка “Отказано в доступе” (Access is denied) с запросом ввода учетной записи и пароля. При указании учетной записи доменного пользователя или даже администратора домена, каталоги все равно не открываются.
При этом тот же самый каталог Sysvol/Netlogon открывается нормально (без запроса пароля), если указать имя контроллера домена: \\dc1.domain.ru\sysvol или просто \\dc1\sysvol .
Кроме того, на проблемных компьютерах с Windows 10 могут наблюдаться проблемы с применением групповых политик. В журнале можно найти ошибки с EventID 1058:
Все это связано с новыми настройками безопасности, которые предназначены для защиты доменных компьютеров от запуска кода (логон скриптов, исполняемых файлов) и получения конфигурационных файлов политик из недоверенных источников — UNC hardening. Настройки безопасности Windows 10 / Windows Server 2016 требуют, чтобы для доступа к UNC каталогам с усиленной защитой (SYSVOL и NETLOGON) использовались следующие уровни безопасности:
- Mutual Authentication — взаимная аутентификация клиента и сервера. Для аутентификации используется Kerberos (NTLM не поддерживается). Именно поэтому вы не можете подключиться к каталогам SYSVOL и NETLOGON на контроллере домена по IP адресу. По-умолчанию RequireMutualAuthentication=1 .
- Integrity – проверка подписи SMB. Позволяет убедиться, что данные в SMB сесии не модифицированы при передаче. Подпись SMB поддерживается только в версии SMB 2.0 и выше (SMB 1 не поддерживает SMB подписи для сессии). По-умолчанию RequireIntegrity=1 .
- Privacy – шифрование данных в SMB сессии. Поддерживается начиная с SMB 3.0 (Windows 8 / Windows Server 2012 и выше). По-умолчанию RequirePrivacy=0.
Изначально эти изменения были внесены в Windows 10 еще в 2015 году в рамках бюллетеней безопасности MS15-011 и MS15-014. В результате был изменен алгоритм работы Multiple UNC Provider (MUP), который теперь использует особые правила для доступа к критичным каталогам на контроллерах домена \\*\SYSVOL и \\*\NETLOGON.
Изменить настройки UNC hardening в Windows 10 для доступа к SYSVOL и NETLOGON можно через групповые политики. Вы можете использовать различные настройки безопасности для доступа к разным UNC-путям с помощью политики Hardened UNC Paths (UNC пути с усиленной защитой).
- Откройте редактор локальной политики безопасности gpedit.msc;
- Перейдите в раздел политик Computer Configuration -> Administrative Templates -> Network -> Network Provider;
- Включите политику Hardened UNC Paths;
- Нажмите на кнопку Show и создайте записи для UNC путей к каталогам Netlogon и Sysvol. Для полного отключения UNC hardering для определенных каталогов (не рекомендуется!!), укажите значение RequireMutualAuthentication=0,RequireIntegrity=0,RequirePrivacy=0
Или можно разрешить доступ к каталогам Sysvol и Netlogon независимо от UNC пути:
Нужно указать все необходимые вам имена доменов (контроллеров домена) или IP адреса.
- \\*\NETLOGON RequireMutualAuthentication=1, RequireIntegrity=1
- \\*\SYSVOL RequireMutualAuthentication=1, RequireIntegrity=1
Осталось обновить политики на компьютере с помощью команды gpupdate /force и проверить, что у вас появился доступ к каталогам Sysvol и Netlogon.
Вы можете настроить эти параметры с помощью централизованной доменной политики. Или с помочью следующих команд на клиентах. (Эти команды отключат Kerberos аутентификацию при доступе к указанным каталогам на DC. Будет использоваться NTLM, в результате вы сможете открыть защищённые каталоги на DC по IP адресу):
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths /v «\\*\SYSVOL» /d «RequireMutualAuthentication=0» /t REG_SZ /f
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths /v «\\*\NETLOGON» /d «RequireMutualAuthentication=0» /t REG_SZ /f
- у вас старая версия административных шаблонов на контроллере домена (DC со старой Windows Server 2008 R2/ Windows Server 2012), в которых отсутствует параметр политик Hardened UNC Paths;
- из-за недоступности каталога Sysvol клиенты не могут получить доменные политики, и вы не можете распространить эти настройки реестра.
Служба Netlogon не запустится, а в журнал занося события 2114 и 7024
В этой статье приводится решение проблемы, из-за которой служба Netlogon не запускается при запуске компьютера с Windows.
Исходная версия продукта: Windows Server 2012 R2
Исходный номер КБ: 269375
Симптомы
При запуске компьютера под управлением Windows 2000 служба Netlogon не запустится, даже если для типа запуска установлено автоматическое управление.
В журнал просмотра событий занося следующие ошибки:
Тип события: Ошибка
Источник события: NETLOGON
Категория события: нет
ИД события: 2114
Описание: служба сервера не запущена.
Тип события: Ошибка
Источник события: диспетчер управления службами
Категория события: Нет
ИД события: 7024
Описание: служба Netlogon завершила работу с ошибкой 2114 для конкретной службы.
После запуска компьютера можно вручную запустить службу Netlogon.
Причина
Эта проблема может возникнуть при любом из следующих условий:
Зависимые службы службы Netlogon были изменены со значений по умолчанию и неправильно настроены. Возможно, вы не сможете получить доступ к некоторым сетевым ресурсам на компьютере, так как служба Netlogon не запущена.
Вы удалили клиент для microsoft Networks, а затем переустановили его. Зависимости сбрасываются неправильно, если компонент «Клиент для сетей Майкрософт» удален, а затем переустановлен.
Решение
В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о том, как создать и восстановить реестр, см. в этой теме.
Чтобы устранить эту проблему, выполните следующие действия.
Запустите редактор реестра (Regedt32.exe).
Найдите ключ реестра: HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Netlogon/ .
В правой области дважды щелкните значение DependOnService.
В диалоговом окне редактора с несколькими строками введите следующие строки в отдельных строках и нажмите кнопку ОК:
Запустите редактор реестра и перезапустите компьютер.
Служба Netlogon. Отказ запуска службы.
  | Список форумов SYSAdmins.RU -> WINDOWS | На страницу 1, 2, 3, 4 След. |
| Автор | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| andreymil Новичок Зарегистрирован: 04.03.2018
|
Вернуться к началу | |
 Зарегистрируйтесь и реклама исчезнет! | ADMINDM | guru 
Зарегистрирован: 04.11.2007
|
Вернуться к началу | |
andreymil | Новичок Зарегистрирован: 04.03.2018
|
Вернуться к началу | |
andreymil | Новичок Зарегистрирован: 04.03.2018
|
Вернуться к началу | |
ADMINDM | guru
Зарегистрирован: 04.11.2007
|
Вернуться к началу | |
ADMINDM | guru
Зарегистрирован: 04.11.2007
|
Вернуться к началу | |
andreymil | Новичок Зарегистрирован: 04.03.2018
|
Вернуться к началу | |
ADMINDM | guru
Зарегистрирован: 04.11.2007
|
Вернуться к началу | |
andreymil | Новичок Зарегистрирован: 04.03.2018
|
Вернуться к началу | |
ADMINDM | guru
Зарегистрирован: 04.11.2007 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
