Возникла проблема, решил её не так как хотелось, если у кого есть предложения, советы — буду рад.
Как так получилось
Для повышения безопасности против шифровальщиков в сети был отключен SMBv1, протокол, который используется Windows 2000, Windows XP, Windows Server 2003 и Windows Server 2003 R2 для доступа к сетевым ресурсам, принтерам, папкам, для взаимодействия процессов.
Очевидно, что сетевой файловый доступ к данным версиям ОС будет не доступен.
В моей сети есть несколько серверов, все работают на версиях 2008-2012, но есть один очень старый сервер без ролей, у которого используется для хранения ключей 1С, работы некоторых сетевых приложений.
В статье https://social.technet.microsoft.com/wiki/contents/articles/37934.windows-protection-against-ransomware-and-possible-issues.aspx было описано, к чему может привести отключение данного протокола.
Отключив SMBv1 на всех серверах и рабочих станциях я продолжил работать, забыв про 2003 сервер. Началось всё с того, что перестало работать RDP, я вывел сервер из домена, RDP заработало, но потом в домен ввести я не смог.
В свойствах локальной сети адреса прописаны правильно, при добавлении сервера в домен возникает ошибка: «Указанное сетевое имя более недоступно».
В диспетчере событий при подсоединении появляются ошибки:
- «Система безопасности обнаружила ошибку проверки подлинности сервера DNS имя_сервера.домен. Полученный от протокола проверки подлинности Kerberos код ошибки: «Неудачная попытка входа в систему. Указано неверное имя пользователя или другие неверные личные данные.(0xc000006d)».»
- «Произошла ошибка при проверке имени этого компьютера на контроллере имя_сервера.домен.local, являющимся контроллером домена Windows для домена имя_домена, и в результате этот компьютер может отвергать попытки входа в систему. Неспособность проверить имя может быть вызвана наличием в этой сети другого компьютера с таким же именем или тем, что не опознан пароль для этой учетной записи компьютера. Если это сообщение повторяется, обратитесь к сетевому администратору.»
- «Служба DHCP/BINL на локальном компьютере определила, что она не авторизована для запуска. Обслуживание клиентов остановлено. Причиной могли стать: Эта машина принадлежит рабочей группе и она обнаружила DHCP-сервер, принадлежащий к административному домену Windows, обслуживающему ту же сеть. Произошла непредвиденная ошибка.»
- Системе не удалось очистить данные журнала транзакций. Возможны повреждения данных.
- Не удалось зарегистрировать записи ресурсов (RR) узлов (A) для сетевого адаптера с параметрами:Имя адаптера: {A286D385-B4B3-468A-81B0-77431B34BFE7}
Имя узла: имя_сервера
Суффикс основного домена: домен
Список DNS-серверов:
192.168.1.2, 192.168.1.3
Отправка обновления на сервер: 192.168.1.2
IP-адрес (адреса): 192.168.1.50Не удалось выполнить регистрацию этих RR в DNS из-за проблем, связанных с безопасностью. Это могло произойти по одной из следующих причин: (а) DNS-имя домена, которое ваш компьютер пытается зарегистрировать, не может быть обновлено, поскольку ваш компьютер не имеет соответствующих прав; (б) возможно, не удается выполнить согласование учетных данных для проверки подлинности с DNS-сервером. Можно попытаться зарегистрировать сетевой адаптер и его параметры вручную, введя команду «ipconfig /registerdns» в командной строке.
Смотрим сетевые настройки с ipconfig /all:
Сервер виден из-под сети и видит остальные компьютеры, но при попытке зайти на них возникает ошибка «Не удаётся найти …. Проверьте правильность ввода».
Контроллер домена компьютер не видит (не удаётся получить доступ).
Имя у этого сервера уникальное, брандмауэр выключен. Время и часовые пояса на сервере и контроллере домена совпадают — кому-то это помогает при ошибке при присоединении к домену: «Указанное сетевое имя более недоступно», но не при отключении SMBv1.
Варианты решений проблемы
Что теперь делать с этим сервером? Я решил попробовать советы из статьи, указанной выше:
- Просто включить SMB 🙂 Но даже если мы включим SMBv1, то в остальной сети у нас всё взаимодействие по 2 и 3-й версии.
- Второй вариант заключается в правке реестра, который находится по адресу HKEY_LOCAL_MACHINE — SYSTEM — CurrentControlSet — Control — Terminal Server — IgnoreRegUserConfigErrors со значением «1». Поиграться с этим параметром.
Второй вариант у меня не пошел, а после включения SMB на 2003 сервере после перезагрузки вообще возможность подключения к домену или рабочей группе вообще пропала. Руки-крюки.
Кроме запуска команд в PowerShell я поставил значения по умолчанию в реестре по отключению SMB, которые проставились от групповой политики на контроллере домена:
в HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParametersSMB1
REG_DWORD: 1 = включено и HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerDependOnService — SamSS,Srv и HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters REG_DWORD: 1
Только после этого возможность присоединения к домену снова появилась, то есть SMBv1 включен, но всё также не работает присоединение, т.к. контроллер домена не работает по SMBv1.
- Обновить Windows Server 2003 Standart до Windows Server 2008 Standart или поставить вместо 2003, что я и сделал, это не решение проблемы, но по-другому ничего не вышло. Это не контроллер домена и единственное, что может пойти не так потом — это не корректная работа аппаратного ключа 1С, но нужно проверять, на всякий случай делаю резервную копию.
Есть хорошая краткая статья по миграции ролей https://social.technet.microsoft.com/Forums/ru-RU/9f2c9198-0968-4347-aa10-08bf2eaa29ac/-ad-2003-windows-server-2008r2-?forum=ws2008r2ru, где подробно всё расписано, если 2003 — контроллер домена.
Качаем Windows Server 2008 Standard с https://www.microsoft.com/en-us/download/details.aspx?id=5023.
У кого была схожая проблема и Вы её решили — прошу комментарии, будет интересно узнать каким способом. Добавлю сюда Ваши варианты.
