主页 / user-165800

RobbieCrash's questions

Martin Hope
RobbieCrash
Asked: 2020-10-09 23:02:13 +0800 CST
  • 4

tl;dr:使用 AD CS 颁发的证书时,Server 2012 R2 和基于 Chromium 的浏览器之间的 TLS 1.2 失败。在 Server 2016+ 和 2012 R2 上使用 Firefox/IE/Cygwin-curl 运行良好。

我们有几个内部 Server 2012 R2 Web 服务器,我们正试图将它们从公开颁发的证书转移到由我们的 AD 集成 CA 颁发的证书上,并消除不太安全的加密设置,包括 CBC MAC。Server 2012 R2 不支持 GCM 的 ECDHE_RSA,这意味着我们正在尝试使用基于 ECDH 的证书。但是,当我们允许使用 CBC-MAC 的密码套件时,我们遇到了类似的问题,例如 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 以及从同一 CA 颁发的 RSA 证书。使用 GlobalSign 颁发的公共通配符证书,我们能够连接所有浏览器。

企业 CA 和脱机根 CA 都是受信任的,我们已经验证它工作正常。使用颁发给 2016 和 2019 服务器的多个不同模板的证书在所有浏览器上都可以正常工作。基于 ECDH 和 RSA 的模板在 2016+ 上同样适用。

ECDH 证书模板加密: ECDH 证书模板加密设置。

RSA 证书模板加密: RSA 证书模板加密设置。

2012 R2 服务器上的 RSA 和 ECDH 证书都被 Firefox security.enterprise_roots.enabled、pre-Chromium Edge、IE 和 Cygwincurlwget. 我已经确认我们在注册表中使用了现代密码,使用IISCrypto重新设置它们,并验证了服务器使用 OpenSSL 和 nmap 提供了兼容的可用密码。同样,我已经确认客户端实际上能够使用这些密码进行连接。

Firefox 显示它正在与 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 连接,根据Qualys,我们正在使用的 Chrome 版本支持它。

与 ECDH

PORT    STATE SERVICE
443/tcp open  https
| ciphers:
|   TLSv1.1:
|     ciphers:
|       TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A

每次我们尝试与 Chrome 连接时,都会记录一对事件 36874/36888,说明客户端上没有支持的密码套件。

我们在使用企业 CA 颁发的证书时遇到问题的密码套件列表,其中大部分仅用于测试(警告已被剪断):

PORT    STATE SERVICE
443/tcp open  https
| ciphers:
|   SSLv3:
|     ciphers:
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C
|     compressors:
|       NULL
|     cipher preference: server
|     warnings:
|   TLSv1.0:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C
|     compressors:
|       NULL
|     cipher preference: server
|   TLSv1.1:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C
|     compressors:
|       NULL
|     cipher preference: server
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A
|       TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: C

我的问题是:

  1. 当服务器提供兼容的密码套件时,为什么基于 Chromium 的浏览器无法协商密码套件?
  2. 为了允许 Server 2012 R2 使用内部颁发的证书,我需要设置什么?
  3. 除了将应用程序服务器升级到 2016/2019 之外,还有更好的方法来处理我正在尝试做的事情吗?在这一点上,似乎完全禁用 TLS 并将所有内容放在 LB/反向代理之后可能是一个更好的主意,即使这些是单服务器解决方案。

编辑:用 Chromium 打开了一个错误,他们已经确认服务器提供的密码套件应该被 Chrome 接受。在我提供了通过 CHROME://Net-Export 捕获的网络日志之后,他们现在正在调查。这可能与旧的Chrome/2012 错误有关。一旦谷歌报告了问题所在,我将再次更新这篇文章。但是,在这一点上,我们这边的配置似乎没有任何问题。

感谢您的关注!

ssl google-chrome windows-server-2012-r2 microsoft-edge iis-8
Martin Hope
RobbieCrash
Asked: 2018-01-17 05:18:57 +0800 CST
  • 2

我们正在寻找在我们的 AD 架构中向 User 类添加自定义属性,但我找不到任何关于实际属性名称长度限制的信息,只有对其值的一般限制。向 AD 中的类添加更长的属性名称是否存在特定问题?

例如,添加属性Organization_DateTime_NewOfficeMoveDate是否可以,还是应该只是Org_OfficeMoveDate?这些限制是否普遍适用于域/林功能级别?

active-directory
Martin Hope
RobbieCrash
Asked: 2016-06-30 08:24:57 +0800 CST
  • -2

我有一个远程 DC 至少 90 天无法完全复制 AD,因此已被删除,其站点到站点链接被切断,并已从组织的主要 AD 基础设施中清除。这很好,我们不希望解决这个问题或将他们现在的本地广告带回折叠;该办公室将作为独立的 AD 办公室向前发展。当他们与 AD 其余部分的链接失败时,我们正在准备 AD 迁移,但尚未进行任何更改。

目前,我们在该 DC 上没有任何域管理员凭据。我有 5 位不同的域管理员发誓他们知道他们的密码,并且知道他们的密码是什么最后一次成功复制 AD。我们都无法登录,也无法使用主企业管理员帐户,这是一个从一切正常到现在绝对没有更改的密码。

我们所有的域管理员都不记得他们的密码是不可能的。密码没有过期,并不是我们被迫更改密码,当地的 DC 只是认为他们错了。本地管理员说,在我们为 AD 迁移做准备时,他没有对他们的 DC 做任何事情,而且他的帐户只对他们的用户和他们的 OU 拥有管理权限,所以他不应该能够更改我们的任何内容密码或类似的东西。

那么这怎么可能发生呢?如果您将其启动到 DC 上的 DSRM,是否会对所有域管理员帐户产生影响?AKA,我们当地的人是否试图亲自动手并破坏某些东西?服务器是否有可能以某种方式受到损害而导致这种情况?

现场唯一的其他服务器是加入域的文件服务器,本地管理员凭据仍然可以访问,因此这不是一个大问题。

现有的 DC 和现有的文件服务器一样是 Server 2008 R2,并且办公室中的所有计算机都在完全更新的 Windows 7 机器上。

更多相关细节:我们的森林中有一个全局域,在多个办公室有远程域控制器,每个办公室都是一个 AD 站点。其中一个办公室与我们的全球基础设施分离。在我们能够正确地将他们迁移出我们的域之前,他们的 ISP 崩溃了,他们的互联网连接丢失了。由于该站点没有回到我们的控制之下,因此它已从域中删除。为了帮助他们迁移到自己的域,我们将运行 ADMT,但由于无法使用管理员权限对他们的本地 DC 进行身份验证,因此我们无法运行 ADMT。

用户配置文件是工作站本地的,主驱动器存储在我们具有管理员访问权限的文件服务器上,因此可以选择手动移动数据。

我对如何进行有几个想法/问题:

  1. 我可以恢复他们的站点和 DC 并完成整个取消墓碑过程,但这是一项大量工作,只是为了让他们达到我们可以再次从 AD 中删除它们的地步。
  2. 我们可以废弃他们的整个本地 AD 并让他们部署一个新的,并将所有计算机迁移到新环境,但这也是一项大量工作。
  3. 如果我们决定使用选项 2,我们最大的担忧就是将用户配置文件从当前 AD 迁移到新的 AD。鉴于不存在对当前域的管理访问权限,是否有工具可以帮助解决此问题?或者这基本上只是,创建新的 AD,加入 PC,初始化新的用户配置文件并将数据从旧配置文件复制到新配置文件并重新配置帐户?
  4. 有没有更好的方法可以做到这一点,我没有想到?我所知道的所有协助此类事情的工具都需要对源 AD 的管理访问权限。
active-directory windows-7 windows-server-2008-r2
Martin Hope
RobbieCrash
Asked: 2015-10-22 08:36:39 +0800 CST
  • 2

我们的设置如下: Site0: Exch00 - Original On-Prem Exchange 服务器。CAS、MBX 和所有传输角色。未配置为使用 365 执行任何混合/管理工作。 DC0 - 站点本地 DC 到 Exch00 所在的站点

Site1:Exch01 - 混合服务器,所有 365 管理等 MBX、CAS,包含资源邮箱和要导出到 PST 或迁移到 365 的邮箱。 DC1 - Exch01 客户端计算机的站点本地 DC

站点 2-5:客户端计算机、本地 DC。

外部站点:许多未集成 AD 并使用 Outlook Anywhere 的办公室。

365 - 使用目录同步而不是 ADFS 进行设置

站点 0 发生故障,不需要恢复。所需的所有用户和资源邮箱以及其他用户数据已从这些服务器迁移,并且该站点已设置为在月底正确停用。但是,硬件故障已经为我们解决了这个问题。如果需要,我们可以从备份中恢复,但由于我们只是要恢复到退役,我宁愿尽可能避免这种情况。

我们目前遇到无法使用设备日历(但不是房间)的问题。它们都存储在同一个数据库中,在同一个服务器上。所有其他日历都正常运行,只是设备邮箱不工作。

在 Site1 中,Outlook 不断提示输入密码,但无论是否输入密码都可以正常工作。外部站点中的用户没有遇到此问题。

在昨晚发生硬件故障之前,尽管 Exch00 上的所有 Exchange 服务都已禁用,但一切正常。DC 已经通过 ADSIedit 从 AD 拓扑中删除,并且在我们的 KCC 中没有它的踪迹。该网站仍然存在于 ADS&S 我有以下问题:

  1. 我可以通过 ADSIedit 删除 Exch00 的所有痕迹,就像我删除任何其他失败的 Exchange 服务器一样,还是因为 365 关联而存在其他问题?

  2. 是否有单独的仲裁邮箱用于设备邮箱而不是用于房间?如果是这样,是否有重新创建此仲裁邮箱的适当过程?如果不是,是否有可能在 Exchange 更新拓扑信息后解决设备邮箱的问题?

  3. 什么可能导致 Outlook 密码提示?Site1 中的 DC 与 Exch01 一样功能齐全。Sites2-5 也有相同的密码提示问题。

active-directory
Martin Hope
RobbieCrash
Asked: 2015-09-10 10:18:37 +0800 CST
  • 3

我们有 6 个不同的 AD 站点,它们都通过 IPSec 隧道在一个完整的网格中连接,除了一个办公室由于愚蠢的 ISP 相关原因而无法连接到我们的数据中心,这些原因目前无法修复。我们有 AD 集成 DNS,并且有两个具有公共 IP 的 Web 服务器,它们在我们的 AD 站点之间复制内部地址,并通过 IPSec 隧道进行访问。由于这两个服务器都在我们的 DC 中,因此无法连接到 DC 的站点无法访问这两个站点。

我们需要将 AD DNS 的其余部分复制到此站点,因此删除复制不是一种选择。这些站点也在我们的主域的 DNS 中,并且更新它们以使用备用名称或备用域后缀不是一个可行的选择,因为它会破坏该办公室的链接。

有没有办法让这个站点使用备用 DNS 记录而不是跨 AD 复制这些记录?

我最好的选择是对该站点中的所有客户端/服务器计算机进行 GPO 以将这两个主机的公共 IP 添加到本地主机文件中吗?

这不需要是一个永久的、优雅的修复,因为我们将很快改变 ISP(ish)。我只需要在这个办公室的中期未来稳定可靠的东西。简化网络图

澄清一下:多伦多和纽约可以与东京、彼此以及数据中心对话。东京可以与多伦多和纽约通信,但不能与数据中心通信。我们在每个站点中都有资源,以及 AD 复制,需要从所有其他站点访问。

其中两个资源位于我们的数据中心,具有公共 IP 和内部 IP,并且在内部和外部使用相同的主机名。该主机名已集成到我们的 Active Directory DNS 中。从纽约和多伦多到这些站点的所有访问都是通过内部 IP 地址完成的。

我们需要东京通过他们的公共 IP 访问这两个主机,而不是他们的内部 IP。我们不能使用不同的主机名,因为这些站点已大量集成到我们的其他应用程序、通信等中。

domain-name-system
Martin Hope
RobbieCrash
Asked: 2014-10-21 14:29:42 +0800 CST
  • 2

在过去的几周里,我们的 Exchange 服务器遇到了无法完成备份作业的问题,这导致我们通常为空的日志驱动器被填满,以至于 Exchange 已卸载数据库并记录了有关重播日志文件的各种错误。可悲的是,备份团队中没有人正确地完成他们的工作,所以在周末我们遇到了一个失败的情况,卸载了大约 40 个数据库,因为有大约 100GB 的日志,通常位于大约 3GB。这导致周末工作的每个人都没有查看问题的历史记录,而是联系其他任何人,在团队中的每个人都被指示不要启用循环日志记录之后,重新安装所有数据库并收工。

我们还没有听说任何用户有任何数据丢失,但事实上所有数据库都遇到了这种情况,并且有关于日志记录失败、重播失败和意外卸载的投诉,我担心可能会有一些。

除了解雇备份团队之外,周末监视器和管理员决定在备份之间的大量时间后启用循环日志记录而不将日志保存在任何地方以防需要从备份中恢复并获取我们可以返回的任何内容,什么是我最好的行动方案来确定我们是否丢失了任何东西?

在此过程中,是否有可能隐藏在跨越六小时长部分的 3,000,000 条日志条目中的特定事件?是否建议执行完整性检查?碎片整理,在线还是离线?

在 Exchange 服务器上,通常会发生以下情况,我已经剥离了事件源和 ID,因为一切似乎都是通用的,并且在确定事情是否真的发生了超级南方,或者只是毁了我的星期一时几乎没有帮助:

  1. 在“时间”,此服务器上的 Microsoft Exchange 信息存储数据库“数据库”副本遇到严重错误,导致其终止其功能活动。重新挂载尝试返回的错误是“此邮箱数据库 (DATABASE) 只有一个副本。自动恢复不可用。”。请查阅服务器上的事件日志以了解其他存储和“ExchangeStoreDb”事件,以了解有关故障的更多具体信息。

  2. 信息存储 - 数据库 (9564) 数据库:尝试在偏移 1048576 (0x0000000000100000) 处写入文件“F:\Logs\DATABASE\E0Etmp.log”0 (0x00000000) 字节在 0.000 秒后失败,系统错误 112 (0x00000070 ): "磁盘空间不足。"。写入操作将失败,错误为 -1808 (0xfffff8f0)。如果此错误仍然存​​在,则文件可能已损坏,可能需要从以前的备份中恢复。

  3. 信息存储 - 数据库 (9564) 数据库:无法创建新的日志文件,因为数据库无法写入日志驱动器。驱动器可能是只读的、磁盘空间不足、配置错误或损坏。错误 -529。

  4. Information Store - DATABASE (9564) DATABASE:“F:\Logs\DATABASE\”中的日志文件序列因致命错误而停止。使用此日志文件序列的数据库无法进行进一步更新。请更正问题并重新启动或从备份恢复。

  5. 信息存储 - 数据库 (9564) 数据库:数据库恢复/还原失败,出现意外错误 -510。

  6. Microsoft Exchange 邮箱复制服务无法处理邮箱数据库中的作业。数据库:数据库错误:MapiExceptionMdbOffline:无法打开消息存储。(hr=0x80004005, ec=1142) 诊断上下文:

  7. 在 'TIME',此服务器上的数据库 'DATABASE' 的副本在装载操作期间遇到错误。有关详细信息,请参阅服务器上的事件日志以了解“ExchangeStoreDb”或“MSExchangeRepl”事件。将自动再次尝试挂载操作。

这是一个独立的服务器,因此似乎只有一个副本错误。在发生这种情况期间,还记录了许多客户端访问错误,我已经省略了。

windows-server-2012-r2