Computer >> Máy Tính >  >> Hệ thống >> máy chủ Windows

Không thể truy cập các thư mục SYSVOL và NETLOGON từ Windows 10

Tôi nhận thấy một số điều kỳ lạ khi cố gắng truy cập SYSVOL NETLOGON thư mục trong miền từ Windows 10 / Windows Server 2016. Khi tôi cố gắng truy cập miền bằng đường dẫn UNC \\<domain.com>\SYSVOL hoặc bằng địa chỉ IP của bộ điều khiển miền \\192.168.100.10\Netlogon , đã xuất hiện thông báo ‘ Quyền truy cập bị từ chối 'Và lời nhắc Bảo mật Windows để nhập thông tin đăng nhập người dùng để truy cập thư mục. Sau khi nhập người dùng miền hợp lệ hoặc thậm chí thông tin đăng nhập của quản trị viên miền, các thư mục vẫn không mở.

Không thể truy cập các thư mục SYSVOL và NETLOGON từ Windows 10

Trong khi đó, cùng một thư mục Sysvol / Netlogon sẽ mở bình thường (không cần mật khẩu) nếu bạn chỉ định máy chủ điều khiển miền hoặc tên FQDN:\\be-dc1.domain.com\sysvol hoặc đơn giản là \\be-dc1\sysvol .

Ngoài ra, các vấn đề với việc áp dụng Chính sách Nhóm có thể xảy ra trên các máy tính có vấn đề. Bạn có thể tìm thấy lỗi với EventID 1058 trong nhật ký của Trình xem sự kiện:

The processing of Group Policy failed. Windows attempted to read the file \\domain.com\sysvol\domain.cpo\Policies\{GPO GUID}\gpt.ini from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved.

Điều này liên quan đến cài đặt bảo mật mới của Windows nhằm bảo vệ máy tính trong miền khỏi chạy mã (tập lệnh đăng nhập, tệp thực thi) và nhận tệp cấu hình chính sách từ các nguồn không đáng tin cậy - UNC hardening . Cài đặt bảo mật Windows 10 / Windows Server 2016 yêu cầu các mức bảo mật sau được sử dụng để truy cập thư mục UNC với bảo mật nâng cao (thư mục chia sẻ SYSVOL và NETLOGON):

  • Xác thực lẫn nhau của một máy chủ và một máy khách. Kerberos được sử dụng để xác thực. (NTLM không được hỗ trợ.) Đây là lý do tại sao bạn không thể truy cập SYSVOL và NETLOGON chia sẻ trên bộ điều khiển miền theo địa chỉ IP của nó. Theo mặc định, RequireMutualAuthentication=1 .
  • Tính chính trực là kiểm tra chữ ký SMB. Nó cho phép đảm bảo rằng dữ liệu trong một phiên SMB không bị sửa đổi trong quá trình truyền. Chữ ký SMB được hỗ trợ trong SMB 2.0 trở lên (SMB v 1 không hỗ trợ ký phiên SMB). Giá trị mặc định là RequireIntegrity=1 .
  • Bảo mật có liên quan đến mã hóa dữ liệu trong một phiên SMB. Nó được hỗ trợ bắt đầu từ SMB v 3.0 (Windows 8 / Windows Server 2012 hoặc mới hơn). Giá trị mặc định là RequirePrivacy=0 . Nếu bạn có bất kỳ máy tính hoặc bộ điều khiển miền nào có phiên bản Windows cũ (Windows 7 / Windows Server 2008 R2 trở xuống) trong mạng của mình, không sử dụng tùy chọn RequestPrivacy =1. Nếu không, các máy khách cũ sẽ không thể truy cập các thư mục chia sẻ mạng trên bộ điều khiển miền.

Ban đầu, những thay đổi này được thực hiện trong Windows 10 vào năm 2015 như một phần của bản cập nhật bảo mật MS15-011 và MS15-014. Điều này dẫn đến những thay đổi trong Nhiều nhà cung cấp UNC (MUP) thuật toán hiện đang sử dụng các quy tắc đặc biệt để truy cập các thư mục quan trọng trên bộ điều khiển miền: \\ * \ SYSVOL \\ * \ NETLOGON .

Các đường dẫn UNC được bảo vệ bị tắt theo mặc định trên Windows 7 và Windows 8.1.

Để truy cập SYSVOL và NETLOGON, bạn có thể thay đổi cài đặt làm cứng UNC trong Windows 10 bằng cách sử dụng Chính sách Nhóm. Bạn có thể sử dụng cài đặt bảo mật đặc biệt để truy cập các đường dẫn UNC khác nhau trong Đường dẫn UNC được gia cố chính sách.

  1. Mở Local Group Policy Editor (gpedit.msc);
  2. Chuyển đến phần chính sách Cấu hình máy tính -> Mẫu quản trị -> Mạng -> Nhà cung cấp mạng;
  3. Bật Đường dẫn UNC được tăng cường chính sách; Không thể truy cập các thư mục SYSVOL và NETLOGON từ Windows 10
  4. Nhấp vào Hiển thị và tạo các mục nhập cho các đường dẫn UNC đến Netlogon và Sysvol. Để tắt hoàn toàn tính năng cứng UNC cho các thư mục cụ thể (không được khuyến nghị!), Hãy chỉ định các giá trị sau:RequireMutualAuthentication=0,RequireIntegrity=0,RequirePrivacy=0
Bạn có thể sử dụng các định dạng sau của đường dẫn UNC:

  • \\192.168.200.2 (địa chỉ IP của bộ điều khiển miền)
  • \\domain.com
  • \\DCName

Hoặc bạn có thể cho phép truy cập vào Sysvol và Netlogon độc lập với đường dẫn UNC (trên bất kỳ DC nào):

  • \\*\SYSVOL
  • \\*\NETLOGON

Chỉ định tất cả các tên miền (bộ điều khiển miền) hoặc địa chỉ IP bạn cần.

Microsoft khuyên bạn nên sử dụng các cài đặt này để an toàn truy cập các thư mục UNC quan trọng:

  • \\ * \ NETLOGON RequireMutualAuthentication=1, RequireIntegrity=1
  • \\ * \ SYSVOL RequireMutualAuthentication=1, RequireIntegrity=1

Không thể truy cập các thư mục SYSVOL và NETLOGON từ Windows 10

Bây giờ bạn chỉ cần cập nhật các chính sách trên máy tính của mình bằng cách sử dụng gpupdate /force ra lệnh và đảm bảo rằng bạn có thể truy cập Sysvol và Netlogon.

Bạn có thể định cấu hình các tham số này bằng cách sử dụng GPO miền tập trung hoặc các lệnh sau trên máy khách:(Các lệnh này sẽ vô hiệu hóa xác thực Kerberos khi bạn truy cập các thư mục SYSVOL và NETLOGON trên bộ điều khiển miền. NTLM sẽ được sử dụng thay thế và bạn có thể mở các thư mục được bảo vệ trên DC bằng địa chỉ IP của chúng.)

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths /v "\\*\SYSVOL" /d "RequireMutualAuthentication=0" /t REG_SZ /f
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths /v "\\*\NETLOGON" /d "RequireMutualAuthentication=0" /t REG_SZ /f

Các lệnh này có thể hữu ích nếu:

  • Bạn có phiên bản cũ của các mẫu quản trị trên bộ điều khiển miền (DC chạy Windows Server 2008 R2 / Windows Server 2012) không có tham số Đường dẫn UNC cứng;
  • Khách hàng không thể nhận cài đặt Chính sách miền do không thể truy cập Sysvol và bạn không thể triển khai các cài đặt đăng ký này.