Отгадка про Windows

[dil]

Загадка была тут, и никто её не отгадал, хотя мысли в правильном направлении были.

Там действительно сломался керберос. Причём даже при включённом режиме диагностики (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters\LogLevel=1) в логах не было ВООБЩЕ НИЧЕГО про ошибки кербероса. Были сообщения про наведённые ошибки, в частности, “The RPC protocol sequence is not supported”, вероятно, случалось из-за попытки выполнить какие-то действия, требующие аутентификации, после того, как сама эта аутентификация не сработала.

Вот по комбинации наведённых ошибок и была найдена статья с рекомендацией принудительно перевести керберос в режим TCP (HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ Kerberos\Parameters\MaxPacketSize=1).

С какого бодуна оно перестало на одной конкретной машине работать по UDP — загадка великая есть.

С какого бодуна быдлокодеры из Майкрософта решили, что максимальный размер UDP-пакета – 2000 байт, я тоже не знаю, но там так написано: “By default, the maximum size of datagram packets for which Windows Server 2003 uses UDP is 1,465 bytes. For Windows XP and for Windows 2000, this maximum is 2,000 bytes. Transmission Control Protocol (TCP) is used for any datagrampacket that is larger than this maximum.”

Почему те же быдлокодеры ниасилили вывести в лог хоть что-нибудь про неработающий керберос? Видимо, потому что быдлокодеры.

И как можно было так скрестить NTLM authentication с керберосом, чтобы разделяемые ресурсы на сервере успешно подключались, но в них ничего не было видно — это уже вообще за гранью разума.

В общем, ещё один повод считать, что для сколько-нибудь серьёзных задач Windows использовать не следует. Иначе придётся танцевать с бубном, пытаясь _угадать_, что же там сломалось.

Оригинал этой записи. Комментировать можно тут или там.

Любые материалы из этого блога запрещается использовать на сайте livejournal.ru в любой форме и любом объёме

Comments

[evgalt.livejournal.com]

Таки оно же и не получало доступ к искомому, если я правильно помню условия задачи...

[dil.livejournal.com]

Но ресурс-то, типа, подключался. И не только по мнению клиента, на сервере сессию тоже было видно. Значит, какая-то аутентификация срабатывала.

[evgalt.livejournal.com]

ИМХО (и если я правильно помню свои игрища с W2k3s), то "подключался" в данном случае было не более, чем фигура речи. Анонимам не запрещено в принципе коннектиться к серверу, значит типа как соединение есть, но доступа к ресурсам, которым назначены права доступа - нет.

Что в данном случае может сделать анонимный клиент - depends on. Получить IP от DHCP ИМХО ему невозбранно. Выползти во внешний Нет - тоже, а вот получить доступ к шарам, принтерам и т.д. - фигвам.

Может быть полезным завести на сервере имена клиентских ПК, чтобы понимать, в какой момент "опознование" клиента перестает срабатывать аутенификация. Правда я уже не помню, по какому признаку там идет опознавание ПК - по MAC или по IP, выданому DHCP (со всеми граблями по этому поводу)...

А вообще да, информативность в подобных случаях неимоверно доставляет: не работает локальный принтере - получите интерактивный траблшутер со всеми возможными вариантами, нет доступа к серверу - тишина. Наверное, это в целях безопасности, чтобы враг ни о чем не догадался ;)

[dil.livejournal.com]

Под "разделяемыми ресурсами" в данном случае имелись в виду шары, в которые анонимных пользователей не пускают. Список шар анонимному пользователю, может быть, ещё и дадут, а подключиться к конкретной шаре - точно нет.

[evgalt.livejournal.com]

Ну так и я про то же.

[nikulina.livejournal.com]

ИМХО (и если я правильно помню свои игрища с W2k3s), то "подключался" в данном случае было не более, чем фигура речи.

не, там именно что на сервере была видна успешно залогиненная сессия от этого юзера, пришедшего с правильного компьютера.