Pull to refresh

Привет от Microsoft: KB3002657 ломает ntlmssp на Windows 2003

Reading time1 min
Views37K
Считаю необходимым предупредить наше сообщество о чудесном патче за номером KB3002657, выпущенном Microsoft в рамках мартовского «patch tuesday». После установки на КД намертво отваливается возможность аутентифицироваться через NTLMSSP. Из-за этого возникает множество любопытных побочек:
  • Не пускает на smb-шары по \\ip, но \\FQDN работает
  • Не пускает на Windows 7\2008 терминалы через сторонние rdp-клиенты
  • В Eventlog по умолчанию ничего не фиксируется
  • Отваливается доменная аутентификация в 1С и прочих сервисах, не умеющих в керберос
  • Поломалась авторизация в доверенном домене (сообщает хабраюзер Ersh)


Решение проблемы (by simplix):
Computer Configuration >> Windows Settings >> Local Polices >> Security Options >>Network Security: LAN Manager authentication level -> Send LM & NTLM responses


Включение аудита всего и вся в политике доменных контроллеров выявляет следующие ошибки:

Тип: аудит отказов, Код: 537
Сбой входа в систему:
Причина: Ошибка при входе
Пользователь: username
Домен: DOMAIN
Тип входа: 3
Процесс входа: NtLmSsp
Пакет проверки: NTLM
Рабочая станция: WORKSTATION
Код состояния: 0xC000006D
Код подсостояния: 0x0
Имя вызывающего пользователя: — Домен вызывающего: — Код входа вызывающего: — Код процесса вызывающего: — Промежуточные службы: — Адрес сети источника: 10.1.0.44
Порт источника: 0


После удаления обновления KB3002657 со всех контроллеров домена неполадки были устранены.

Ссылки от зарубежных товарищей по несчастью:


Tags:
Hubs:
Total votes 22: ↑22 and ↓0+22
Comments10

Articles