Привет от Microsoft: KB3002657 ломает ntlmssp на Windows 2003

    Считаю необходимым предупредить наше сообщество о чудесном патче за номером KB3002657, выпущенном Microsoft в рамках мартовского «patch tuesday». После установки на КД намертво отваливается возможность аутентифицироваться через NTLMSSP. Из-за этого возникает множество любопытных побочек:
    • Не пускает на smb-шары по \\ip, но \\FQDN работает
    • Не пускает на Windows 7\2008 терминалы через сторонние rdp-клиенты
    • В Eventlog по умолчанию ничего не фиксируется
    • Отваливается доменная аутентификация в 1С и прочих сервисах, не умеющих в керберос
    • Поломалась авторизация в доверенном домене (сообщает хабраюзер Ersh)


    Решение проблемы (by simplix):
    Computer Configuration >> Windows Settings >> Local Polices >> Security Options >>Network Security: LAN Manager authentication level -> Send LM & NTLM responses


    Включение аудита всего и вся в политике доменных контроллеров выявляет следующие ошибки:

    Тип: аудит отказов, Код: 537
    Сбой входа в систему:
    Причина: Ошибка при входе
    Пользователь: username
    Домен: DOMAIN
    Тип входа: 3
    Процесс входа: NtLmSsp
    Пакет проверки: NTLM
    Рабочая станция: WORKSTATION
    Код состояния: 0xC000006D
    Код подсостояния: 0x0
    Имя вызывающего пользователя: — Домен вызывающего: — Код входа вызывающего: — Код процесса вызывающего: — Промежуточные службы: — Адрес сети источника: 10.1.0.44
    Порт источника: 0


    После удаления обновления KB3002657 со всех контроллеров домена неполадки были устранены.

    Ссылки от зарубежных товарищей по несчастью:


    Share post

    Comments 10

      +3
      Еще поломалась авторизация в доверенном домене.

        0
        Спасибо.
          0
          У меня позавчера были танцы с бубном при работе системы документооборота (специфическая программа). Авторизация отваливалась.
          Теперь понятно почему.
          Я сначала подумал на SPN.
            0
            Вчера столкнулся. Не доменные пользователи Exchange 2007 не могли авторизоваться и не работали сценарии, использующие \\ip. Пока откатился. Буду разбираться.
              0
              Поломалась публикация Outlook Anywhere через TMG 2010. Заработала после удаления KB3002657 с контроллеров и их перезагрузки.
                0
                Решение проблемы:
                Computer Configuration >> Windows Settings >> Local Polices >> Security Options >>Network Security: LAN Manager authentication level -> Send LM & NTLM responses
                  0
                  Один уровень пропустили (по крайней мере, у меня в русской консоли их на один больше):
                  Конфигурация компьютера (Computer Configuration)→ Конфигурация Windows (Windows Settings)Параметры безопасности
                  → Локальные политики
                  (Local Polices)→ Параметры безопасности (Security Options) Сетевая безопасность: уровень проверки подлинности LAN Manager
                  Консоль W2003
                  Консоль в W7

                    0
                    Это не моя цитата, не зря же она оформлена как цитата. Решение найдено где-то в интернете, суть понятна.
                      0
                      Суть понятна, но если кому-то придётся искать эту настройку по нашим комментариям, то моя поправка сэкономит ему чуть-чуть времени.
                  0
                  Проблема решилась Microsoft.
                  17 марта WSUS скачал KB3002657-v2
                  Установилось хорошо. Полёт нормальный.

                  Only users with full accounts can post comments. Log in, please.