Windows 7 Client ve multi-label domain isim çözümlemesi ile Kerberos Authentication değişiklikleri

Windows 7 Client ve multi-label domain isim çözümlemesi ile Kerberos Authentication değişiklikleri için yorumlar kapalı
tarafından 3 Şubat 2010 tarihinde Microsoft kategorisine yazıldı.
Merhaba,
Önceki yazılarımda DHCP ve DNS sunucularında yapılan yeniliklerden bahsederken Windows 7 client tarafında yapılan değişikliklere de değinmiştim. Üzerinde çalıştığım bir problem kaydı için bilgi verdiğim diğer önemli iki değişikliği de paylaşmak istedim.
Kısaca problem ile ilgili şunu söyleyebilirim: Windows 7 client’lar HR Portaline ulaşamıyorlar.
Öncelikle yaptığım Newtork trace incelemesinde client’ların portalin adresini çözemediklerini öğrendik. Örnek olarak portal adı portal.hr olsun. IE adres çubuğuna ismi yazıp devam ettiğimizde Windows 7 client^’ın aldığı devap şu şekilde:
74           2010-01-04 18:26:08.124843         10.38.61.80         10.38.201.60       DNS       Standard query A portal.hr
75           2010-01-04 18:26:08.124843         10.38.201.60       10.38.61.80         DNS       Standard query response, No such name
Daha önce DNS isim çözümleme problemlerinde belirttiğim gibi client’ın burada FQDN isim çözümlemesi için Domain suffix’i eklemesi veya Suffix search list kullanması gerekiyor.
XP client ise bizim düşündüğümüz şekilde davranıyor: (Xp client Domain name: test.bank.com)
76           2010-01-04 18:52:17.461725         10.38.61.228       10.38.201.60       DNS       Standard query A portal.hr
77           2010-01-04 18:52:17.461725         10.38.201.60       10.38.61.228       DNS       Standard query response, No such name
78           2010-01-04 18:52:17.461725         10.38.61.228       10.38.201.60       DNS       Standard query A portal.hr.test.bank.com
79           2010-01-04 18:52:17.461725         10.38.201.60       10.38.61.228       DNS       Standard query response A 10.34.181.32
Yukarıda görüldüğü gibi client multi-label (portal.hr) ile DNS sunucusundan ismi çözemedikten hemen sonra DNS suffix ekleyerek devam etmesi gerekiyor ve test.bank.com ekleyerek isim çözümlemesini yapabiliyor.
Burad beklenti Windows 7’inin de aynı şekilde davranmasıdır. Bu özellike varsayılan olarak Windows 7’de aktif değildir. Ancak bir policy değişikliği ile ektif hale getirilebilir:
Group Policy location > Computer Configuration > Administrative Templates > Network > DNS Client > Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries = Enabled
Bu değişiklik sonrası Windows 7 client’da aynı şekilde isim çözümlemesini yapabildiğini gördük. Ancak bu sefer karşına farklı bir değişikliğin sebep olduğu bir engel çıktı. Cliet isim çözümlemesini yaptıktan hemen sonra Web Portal üzerinden authentication gerçekleştirmek istediğinde KDC_ERR_ETYPE_NOSUPP hatası alıyordu. AD ortamında bir client herhangi bir servis için istediği service ticket’ın şifrelenme yöntemini desteklemiyorsa bu hatayı alacaktır. Windows 7 ve Windows Server 2008 R2 DES şifreleme yöntemini “varsayılan” olarak desteklememektedir. Örnek vermek gerekirse:
Kerberos TGS-REP
Record Mark: 1639 bytes
Pvno: 5
MSG Type: TGS-REP (13)
Client Realm: TEST.BANK.COM
Client Name (Principal): W7_Client
Ticket
Tkt-vno: 5
Realm: TEST.BANK.COM
Server Name (Service and Instance): HTTP/webserver.test.bank.com
Name-type: Service and Instance (2)
Name: HTTP
Name: webserver.test.bank.com
enc-part des-cbc-md5
enc-part rc4-hmac
Bu service ticket’da görülebileceği gibi şifreleme metodu olarak DES kullanılmıştır. Windows 7 ve Windows Server 2008 R2 sistemlerin DES şifreleme metodunu desteklemesi için aşağıdaki policy değişkliğini yapmak gerekiyor:
Computer Configuration\Security Settings\Local Policies\Security Options\ Configure encryption types allowed for Kerberos
Alıntı: Technet
email

Bu yazı blog üzerinde Tayfun DEĞER tarafından paylaşılmıştır. 2009 yılında açılan blog kısa zaman içerisinde büyük bir izleyici kitlesine sahip olmuştur.Tayfun DEĞER danışmanlık ve eğitimler vermektedir. vExpert 2013-2017, VCP5, VCP5-DT, VCP-Cloud ve MCSE sertifikalarına sahiptir.Twitter 'dan @tayfundeger veya RSS ile sitedeki değişiklikleri takip edebilirsiniz.

Yorumlar kapatıldı.