RobbieCrash's questions

tl; dr: TLS 1.2 entre o Server 2012 R2 e navegadores baseados em Chromium falha ao usar certificados emitidos pelo AD CS. Funciona bem no Server 2016+ e no 2012 R2 com Firefox/IE/Cygwin-curl.

Temos vários servidores Web Server 2012 R2 internos que estamos tentando migrar de certificados emitidos publicamente para aqueles emitidos por nossa CA integrada ao AD e eliminar configurações de criptografia menos seguras, incluindo CBC MAC. O Server 2012 R2 não oferece suporte a ECDHE_RSA com GCM, o que significa que estamos tentando usar um certificado baseado em ECDH. No entanto, enfrentamos um problema semelhante quando permitimos conjuntos de criptografia com CBC-MAC, como TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 com um certificado RSA emitido pela mesma CA. Usando nosso certificado curinga público emitido pela GlobalSign, podemos nos conectar com todos os navegadores.

A autoridade de certificação corporativa e a autoridade de certificação raiz offline são confiáveis ​​e verificamos que isso está funcionando corretamente. Os certificados que usam vários modelos diferentes emitidos para servidores de 2016 e 2019 funcionam sem problemas em todos os navegadores. Os modelos baseados em ECDH e RSA funcionam igualmente bem em 2016+.

Criptografia do modelo de certificado ECDH:

Criptografia do modelo de certificado RSA:

Os certificados RSA e ECDH nos servidores 2012 R2 são aceitos pelo Firefox (uma vez que tenha sido informado para confiar neles por meio de política e configuração manual security.enterprise_roots.enabled), pré-Chromium Edge, IE e Cygwin curle wget. Confirmei que estamos usando cifras modernas no registro, redefinindo-as com IISCrypto e verifiquei se há cifras compatíveis disponíveis oferecidas pelo servidor com OpenSSL e nmap. Da mesma forma, confirmei que os clientes são realmente capazes de se conectar usando essas cifras.

O Firefox mostra que está se conectando com TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, que de acordo com Qualys é compatível com a versão do Chrome que estamos usando.

Com o ECDH

PORT    STATE SERVICE
443/tcp open  https
| ciphers:
|   TLSv1.1:
|     ciphers:
|       TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A

Cada vez que tentamos conectar com o Chrome, um par de eventos 36874/36888 é registrado informando que não havia conjuntos de cifras compatíveis no cliente.

Uma lista dos conjuntos de cifras com os quais enfrentamos o problema ao usar um certificado emitido pela CA Enterprise, a maioria dos quais foi habilitada apenas para teste (avisos recortados):

PORT    STATE SERVICE
443/tcp open  https
| ciphers:
|   SSLv3:
|     ciphers:
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C
|     compressors:
|       NULL
|     cipher preference: server
|     warnings:
|   TLSv1.0:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C
|     compressors:
|       NULL
|     cipher preference: server
|   TLSv1.1:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C
|     compressors:
|       NULL
|     cipher preference: server
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A
|       TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: C

Minhas perguntas são:

1. Por que os navegadores baseados em Chromium não conseguem negociar um conjunto de cifras quando existem conjuntos de cifras compatíveis oferecidos pelo servidor?
2. O que preciso definir para permitir que o Server 2012 R2 use certificados emitidos internamente?
3. Existe uma maneira melhor de lidar com o que estou tentando fazer, além de atualizar os servidores de aplicativos para 2016/2019? Neste ponto, parece que desabilitar completamente o TLS e colocar tudo atrás de um proxy LB/reverso pode ser uma ideia melhor, mesmo que sejam soluções de servidor único.

EDIT: Abri um bug com o Chromium e eles confirmaram que os conjuntos de cifras oferecidos pelo servidor devem ser aceitos pelo Chrome. Eles agora estão investigando depois que eu forneci o log de rede capturado via CHROME://Net-Export. Isso pode estar relacionado a um bug antigo do Chrome/2012 . Assim que o Google informar qual é o problema, atualizarei esta postagem novamente. No entanto, neste ponto, parece que não há nada de errado com a configuração do nosso lado.

Obrigado por olhar!

Estamos procurando adicionar atributos personalizados à classe User em nosso esquema AD e não consigo encontrar nada sobre um limite de comprimento para o nome real do atributo, apenas limites gerais para seus valores. Existem preocupações específicas com a adição de nomes de atributos mais longos às classes no AD?

Por exemplo, adicionar o atributo Organization_DateTime_NewOfficeMoveDate está ok ou deveria ser apenas Org_OfficeMoveDate ? Os limites se aplicam universalmente em todos os níveis funcionais de domínio/floresta?

Eu tenho um controlador de domínio remoto que não conseguiu replicar completamente o AD por pelo menos 90 dias, portanto, foi marcado para exclusão, teve seu link site a site cortado e foi removido da infraestrutura principal de AD da organização. Tudo bem, não queremos consertar isso ou trazer o AD local de volta ao grupo; o escritório seguirá em frente como seu próprio escritório AD separado. Estávamos no meio da preparação para uma migração do AD quando o link deles para o restante do AD falhou, mas nenhuma alteração foi feita ainda.

Atualmente, nenhuma das credenciais de administrador de domínio que temos funciona nesse controlador de domínio. Eu tenho 5 administradores de domínio diferentes que juram que sabem sua senha e sabem qual foi a senha da última vez que o AD foi replicado com sucesso. Nenhum de nós consegue fazer login, nem podemos usar a conta master Enterprise Admin, que é uma senha que definitivamente não mudou entre quando tudo estava funcionando corretamente e agora.

Não é possível que todos os nossos administradores de domínio não se lembrem de sua senha. As senhas não têm prazo de validade, e não é que estamos sendo forçados a mudar nossa senha, o DC local apenas acha que elas estão erradas. O administrador local diz que não fez nada em seu DC enquanto estávamos trabalhando na preparação para a migração do AD, e sua conta só tinha direitos administrativos sobre seus usuários e sua UO, então ele não deveria ter sido capaz de alterar nenhum de nossos senhas ou algo semelhante.

Então, como isso pode ter acontecido? A inicialização no DSRM em um DC faz algo para todas as contas de administrador de domínio se você estragar tudo? AKA, nosso cara local tentou resolver o problema com as próprias mãos e quebrar alguma coisa? É possível que o servidor tenha sido comprometido de alguma forma que causaria isso?

O único outro servidor no local é um servidor de arquivos ingressado no domínio que as credenciais do administrador local ainda funcionam para acessar, portanto, não é um grande problema.

O controlador de domínio existente é o Server 2008 R2, assim como o servidor de arquivos existente, e todos os computadores do escritório estão em máquinas Windows 7 totalmente atualizadas.

Mais detalhes relevantes : Temos um domínio global em nossa floresta que possui controladores de domínio remoto em vários escritórios, cada escritório é um site do AD. Um desses escritórios está se separando de nossa infraestrutura global. Antes que pudéssemos migrá-los adequadamente para fora de nosso domínio, seu ISP entrou em colapso e sua conexão com a Internet foi perdida. Como esse site não está voltando ao nosso controle, ele foi removido do domínio. Para ajudá-los a migrar para seu próprio domínio, executaríamos o ADMT, mas como o controlador de domínio local não pode ser autenticado com direitos de administrador, não podemos executar o ADMT.

Os perfis de usuário são estações de trabalho locais com uma unidade inicial armazenada no servidor de arquivos ao qual temos acesso de administrador, portanto, mover manualmente os dados é uma opção.

Tenho vários pensamentos/perguntas sobre como proceder:

1. Posso restaurar o site e o DC e passar por todo o processo de desativação, mas é uma quantidade significativa de trabalho apenas para levá-los a um ponto em que possamos removê-los do AD novamente.
2. Podemos descartar todo o AD local e fazê-los implantar um novo e migrar todos os computadores para um novo ambiente, mas isso também é uma quantidade significativa de trabalho.
3. Se decidirmos pela opção 2, nossa maior preocupação será migrar os perfis de usuário do AD atual para o novo. Existe uma ferramenta que pode ajudar com isso, visto que o acesso administrativo ao domínio atual é inexistente? Ou basicamente será apenas criar o novo AD, entrar no PC, inicializar o novo perfil de usuário e copiar os dados do perfil antigo para o novo e reconfigurar as contas?
4. Existe uma maneira melhor de fazer isso que eu não estou pensando? Todas as ferramentas que conheço para ajudar com algo assim requerem acesso administrativo ao AD de origem.

Nossa configuração é a seguinte: Site0: Exch00 - servidor Exchange local original. CAS, MBX e todas as funções de transporte. Não foi configurado para executar nenhum trabalho híbrido/gerenciamento com 365. DC0 - DC local do site para o site onde o Exch00 está

Site1: Exch01 - servidor híbrido, todo o gerenciamento 365, etc. MBX, CAS, contém caixas de correio de recursos e caixas de correio a serem exportadas para PST ou migradas para 365. DC1 - DC local do site para computadores clientes Exch01

Sites2-5: computadores clientes, DCs locais.

Sites externos: muitos escritórios que não são integrados ao AD e estão usando o Outlook Anywhere.

365 - Configuração com Dirsync, não ADFS

O site 0 falhou e não precisa ser recuperado. Todas as caixas de correio de usuários e recursos e outros dados de usuários necessários já foram migrados desses servidores, e o site foi definido para ser encerrado adequadamente no final do mês. No entanto, uma falha de hardware resolveu isso para nós. Podemos restaurar a partir do backup, se necessário, mas, como apenas restauraremos para a desativação, prefiro evitar isso, se possível.

No momento, estamos tendo problemas com calendários de equipamentos (mas não salas) indisponíveis. Eles são todos armazenados no mesmo banco de dados, no mesmo servidor. Todos os outros calendários estão funcionando corretamente, são apenas as caixas de correio do equipamento que não estão funcionando.

No Site1, o Outlook está solicitando uma senha constantemente, mas está funcionando independentemente de a senha ser digitada ou não. Os usuários nos sites externos não estão enfrentando esse problema.

Antes da falha de hardware ontem à noite, tudo estava funcionando corretamente, embora todos os serviços do Exchange estivessem desativados no Exch00. O DC já foi removido da Topologia do AD via ADSIedit e não há vestígios dele em nosso KCC. O site ainda existe em ADS&S Tenho as seguintes dúvidas:

1. Posso remover todos os vestígios de Exch00 via ADSIedit, como faria com qualquer outro servidor Exchange com falha, ou há preocupações adicionais por causa da ligação 365?

2. Existe uma caixa de correio de arbitragem separada usada para caixas de correio de equipamentos do que para salas? Em caso afirmativo, existe um processo adequado para recriar esta caixa de correio de arbitragem? Caso contrário, é provável que os problemas com as caixas de correio do equipamento sejam resolvidos assim que o Exchange atualizar as informações de topologia?

3. O que poderia estar causando a solicitação de senha do Outlook? O DC no Site1 é totalmente funcional, assim como Exch01. Sites2-5 também estão tendo o mesmo problema de solicitação de senha.

Temos 6 sites AD diferentes, todos conectados por túneis IPSec em uma malha completa, além de um escritório que não pode se conectar ao nosso data center por motivos estúpidos relacionados ao ISP que não podem ser corrigidos atualmente. Temos DNS integrado ao AD e existem dois servidores web, com IPs públicos, que replicam o endereço interno em nossos sites AD e são acessados ​​através dos túneis IPSec. Como esses dois servidores estão em nosso DC, o site que não pode se conectar ao DC não consegue acessar esses dois sites.

Precisamos replicar o restante de nosso AD DNS para este site, portanto, remover a replicação não é uma opção. Esses sites também estão no DNS de nosso domínio principal, e atualizá-los para usar um nome alternativo ou um sufixo de domínio alternativo não é uma opção viável, pois interromperá os links para este escritório.

Existe uma maneira de fazer com que esse site use registros DNS alternativos e não os replique no AD?

Minha melhor opção é GPO em todos os computadores cliente/servidor nesse site para adicionar o IP público desses dois hosts ao arquivo de hosts locais?

Isso não precisa ser uma correção permanente e elegante, pois mudaremos os ISPs em breve (ish). Eu só preciso de algo que seja estável e confiável para este escritório no futuro de médio prazo.

Para esclarecer: Toronto e Nova York podem conversar com Tóquio, entre si e com o data center. Tóquio pode falar com Toronto e Nova York, mas não com o data center. Temos recursos em cada site, bem como a replicação do AD, que precisam ser acessados ​​de todos os outros sites.

Dois desses recursos estão em nosso data center e possuem IPs públicos, bem como IPs internos, e usam o mesmo nome de host interna e externamente. Esse nome de host está integrado ao nosso DNS do Active Directory. Todo o acesso de Nova York e Toronto a esses sites é feito por meio de endereços IP internos.

Precisamos que Tóquio acesse esses dois hosts por meio de seu IP público, não interno. Não podemos usar nomes de host diferentes, pois esses sites são fortemente integrados em nossos outros aplicativos, comunicações, etc.

Nas últimas semanas, nosso servidor Exchange teve problemas com falhas na conclusão de suas tarefas de backup, o que fez com que nossas unidades de log normalmente vazias se enchessem a ponto de o Exchange desmontar bancos de dados e registrar vários erros relacionados à reprodução de arquivos de log. Infelizmente, ninguém na equipe de backup fez seu trabalho corretamente, então, no fim de semana, tivemos uma situação de falha que desmontou ~ 40 bancos de dados devido a ~ 100 GB de logs, que geralmente ficam em ~ 3 GB. Isso fez com que todos os que trabalhavam no fim de semana não olhassem para o histórico do problema e, em vez de entrar em contato com qualquer outra pessoa, ativassem o registro circular depois que todos na equipe fossem instruídos a não, remontar todos os bancos de dados e encerrar o dia.

Ainda não ouvimos falar de nenhuma perda de dados de nenhum usuário, mas o fato de que todos os bancos de dados encontraram isso e que há reclamações sobre falhas de registro, falhas de repetição e desmontagens inesperadas preocupa-me que possa haver algumas.

Além de demitir a equipe de backup, os monitores de fim de semana e o administrador que decidiu habilitar o registro circular após um período significativo de tempo entre os backups sem salvar os logs em nenhum lugar em caso de necessidade de restaurar do backup e recuperar o que pudermos, o que é meu melhor curso de ação para determinar se perdemos alguma coisa?

Existem eventos específicos que podem estar ocultos nos 3.000.000 registros de log que abrangem a seção de seis horas enquanto isso acontecia? A realização de uma verificação de integridade é recomendada? Desfragmentar, online ou offline?

No servidor Exchange, o que aconteceu normalmente foi o seguinte: removi a fonte e o ID do evento porque tudo parece genérico e de pouca ajuda para determinar se as coisas realmente deram errado ou apenas arruinaram minha segunda-feira:

1. Às 'TIME', a cópia 'DATABASE' do Banco de Dados de Armazenamento de Informações do Microsoft Exchange neste servidor apresentou um erro grave que fez com que encerrasse sua atividade funcional. O erro retornado pela tentativa de remontagem foi "Existe apenas uma cópia deste banco de dados de caixa de correio (DATABASE). A recuperação automática não está disponível.". Consulte o log de eventos no servidor para outro armazenamento e eventos "ExchangeStoreDb" para obter informações mais específicas sobre as falhas.

2. Armazenamento de informações - DATABASE (9564) DATABASE: uma tentativa de gravar no arquivo "F:\Logs\DATABASE\E0Etmp.log" no deslocamento 1048576 (0x0000000000100000) para 0 (0x00000000) bytes falhou após 0,000 segundos com erro de sistema 112 (0x00000070) ): "Não há espaço suficiente no disco. ". A operação de gravação falhará com o erro -1808 (0xfffff8f0). Se esse erro persistir, o arquivo pode estar danificado e pode precisar ser restaurado de um backup anterior.

3. Armazenamento de informações - DATABASE (9564) DATABASE: Não é possível criar um novo arquivo de log porque o banco de dados não pode gravar na unidade de log. A unidade pode ser somente leitura, sem espaço em disco, mal configurada ou corrompida. Erro -529.

4. Armazenamento de informações - DATABASE (9564) DATABASE: A sequência do arquivo de log em "F:\Logs\DATABASE\" foi interrompida devido a um erro fatal. Nenhuma atualização adicional é possível para os bancos de dados que usam essa sequência de arquivo de log. Corrija o problema e reinicie ou restaure a partir do backup.

5. Armazenamento de informações - DATABASE (9564) DATABASE: A recuperação/restauração do banco de dados falhou com o erro inesperado -510.

6. O serviço de replicação de caixa de correio do Microsoft Exchange não conseguiu processar trabalhos em um banco de dados de caixa de correio. Banco de dados: DATABASE Error: MapiExceptionMdbOffline: não é possível abrir o armazenamento de mensagens. (hr=0x80004005, ec=1142) Contexto de diagnóstico:

7. Às 'TIME', a cópia do banco de dados 'DATABASE' neste servidor encontrou um erro durante a operação de montagem. Para obter mais informações, consulte o log de eventos no servidor para eventos "ExchangeStoreDb" ou "MSExchangeRepl". A operação de montagem será tentada novamente automaticamente.

Este é um servidor autônomo, portanto, os únicos erros de cópia parecem ser esperados. Há também vários erros de acesso do cliente registrados durante o tempo em que isso estava acontecendo, que eu omiti.