MVP: System Center Cloud and Datacenter Management, MCT, MCSE, MCITP, MCPD, MCDBA
MVP Logo

Pageviews 2017: 1968497
Pageviews 2016: 3991973
Pageviews 2015: 2675433
Pageviews 2014: 2664208
Pageviews 2013: 2399409
Pageviews 2012: 3209633
Pageviews 2011: 2730038
Pageviews 2010: 1470924
Pageviews 2009: 64608

Últimos posts

Categorias

Arquivo

Tags

Alteração no Kerberos do Windows 2012 pode causar Acesso Negado

Em uma reunião com os Microsoft PFEs Gilson Banin e Marcelo Ferratti foi comentado sobre uma alteração no método como o Windows 2012 gera um Ticket de autenticação pelo Kerberos, chamado de “KDC Resource SID Compression”.

Situação Atual

Como já é sabido, um Ticket de autenticação leva o SID do usuário e dos grupos do qual ele faz parte, além do SID History em casos de migração anterior. Em alguns casos, principalmente dominios muito grandes, o Ticket podia estourar o limite padrão de 12 Kb e gerar problemas na autenticação. Vale lembrar que pelo mesmo motivo um usuário não pode fazer parte de mais do que 1024 grupos.

Atuamente o Ticket (PAC) é composto por SIDs completos: Os valores padrão de identificação (S-1-5), o SID do dominio e o RID individual do objeto no ultimo bloco:

  • S-1-5-21-3419695430-3854377854-1234
  • S-1-5-21-3419695430-3854377854-1466
  • S-1-5-21-3419695430-3854377854-1675
  • S-1-5-21-4533280865-6432248977-6523
  • S-1-5-21-4533280865-6432248977-6578

Alteração no Windows 2012

A mudança no KDC consiste em não mais incluir no Ticket dados repetidos, com isso o Ticket gerado por um Domain Controller com Windows 2012 fica com menor tamanho e resolve o problema de ser necessário a alteração do tamanho do Ticket.

Assim, o mesmo exemplo anterior de Ticket ficaria:

  • S-1-5-21-3419695430-3854377854-1234
  • -1466
  • -1675
  • S-1-5-21-4533280865-6432248977-6523
  • -6578

O problema é que servidores anteriores ao Windows 2012 não “entendem” o novo Ticket e só permitirá acesso as ACEs que sejam completas, portanto o usuário conseguiria acessar locais onde a permissão foi concedida nos casos 1 e 4 do exemplo, mas não acessaria caso a permissão seja de um dos outros SIDs.

Conclusão

Em um dominio onde ainda existam servidores anteriores ao Windows 2012, o que inclui o Windows 2008 R2, o acesso ao servidor de arquivos, Exchange e qualquer outro que seja baseado no Kerberos terá problemas de acesso negado.

Remediação

Crie a chave de Registry Dword DisableResourceGroupsFields  em HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kdc\Parameters para desabilitar este recurso.

 

Mais Informações: http://support.microsoft.com/kb/2774190

Posted: out 28 2012, 23:20 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Login
Marcelo de Moraes Sincic | dezembro 2015
MVP: System Center Cloud and Datacenter Management, MCT, MCSE, MCITP, MCPD, MCDBA
MVP Logo

Pageviews 2017: 1968498
Pageviews 2016: 3991973
Pageviews 2015: 2675433
Pageviews 2014: 2664208
Pageviews 2013: 2399409
Pageviews 2012: 3209633
Pageviews 2011: 2730038
Pageviews 2010: 1470924
Pageviews 2009: 64608

Últimos posts

Categorias

Arquivo

Tags

System Center Configuration Manager 1511–Alterar “Evaluation’'”

É comum ao instalar o SCCM em suas diversas versões deixar para colocar a chave depois da avaliação.

Porem, na versão 1511 lançada no final de Novembro a opção comum a ser usada não funciona mais, ou seja, usar o Setup na opção “Perform site maintenance or reset this site”:

capture20151228100520008

Porem, note que não aparece a opção para incluir a chave de instalação:

capture20151228100528113

Esse “problema” muito provavelmente seja um bug ou por alguma intenção ainda não definida após 60 dias o SCCM 1511 passa a não mais dar a opção de usar a chave.

Para reabilitar, é importante saber que o problema é uma alteração na chave HKLM\Local Computer\Software\SMS\Setup onde o Product ID é alterado para “NONEVAL”, o que impede a inserção da chave posterior a instalação:

capture20151228100459536

Para resolver esse problema, basta alterar de “NONEVAL” para “EVAL”, fechar o Regedit e executar novamente o Setup:

capture20151228100558721

Voilá!!!!  Agora podemos incluir a chave!

Posted: dez 28 2015, 12:24 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5

System Center Service Manager TP4 e 2012 R2–Novo Portal

Uma das novidades do TP4 do System Center “2016” é o fim do uso do SharePoint para o portal de auto-atendimento.

Isso era uma reclamação constante, tanto por conta da necessidade de criação do SharePoint, Layout, Administração e a versão 2010 que era exigida. Em geral eramos obrigados a instalar um servidor SharePoint Foundation 2010 no Windows 2008 R2 para servir de portal com todas as implicações de mais um servidor e serviço a ser administrado.

Na nova versão TP4 disponivel para download já está disponivel o portal totalmente em HTML!!! (https://technet.microsoft.com/en-gb/evalcenter/dn781241.aspx)

Para a versão 2012 R2 também foi disponibilizado o portal dentro do Update Rollup 8 do SCSM 2012 R2 em https://www.microsoft.com/en-us/download/details.aspx?id=49556

Veja abaixo algumas das principais telas e como ficaram muito mais simples, funcionais, aspecto visual e layout do Windows 10 e com os botões de acesso rápido na barra superior na tela de entrada do portal:

capture20151207001916644

Ao abrir um chamado, os dados são os mesmos mas agora podemos indicar quais os “preferidos” para aparecerem no portal, alem de poder customizar para cada usuário:

capture20151207001939981

Por fim, a parte de interação com o suporte se tornou muito mais aprazivel e com os botões de acesso rápido na barra superior mais fácil de verificar atualizações.

capture20151207002016586

Enfim, essa é uma novidade que a muito esperavamos e finalmente ficou disponivel na versão TP4 e 2012 R2.

Posted: dez 28 2015, 11:13 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Login