Microsoft
Windows 7 Client ve multi-label domain isim çözümlemesi ile Kerberos Authentication değişiklikleri
Merhaba, Önceki yazılarımda DHCP ve DNS sunucularında yapılan yeniliklerden bahsederken Windows 7 client tarafında yapılan değişikliklere de değinmiştim. Üzerinde çalıştığım bir problem kaydı için bilgi verdiğim diğer önemli iki değişikliği de paylaşmak istedim. Kısaca problem ile ilgili şunu söyleyebilirim: Windows 7 client’lar HR Portaline ulaşamıyorlar. Öncelikle yaptığım Newtork trace incelemesinde client’ların portalin adresini çözemediklerini öğrendik. Örnek olarak portal adı portal.hr olsun. IE adres çubuğuna ismi yazıp devam ettiğimizde Windows 7 client^’ın aldığı devap şu şekilde:
74 2010-01-04 18:26:08.124843 10.38.61.80 10.38.201.60 DNS Standard query A portal.hrDaha önce DNS isim çözümleme problemlerinde belirttiğim gibi client’ın burada FQDN isim çözümlemesi için Domain suffix’i eklemesi veya Suffix search list kullanması gerekiyor. XP client ise bizim düşündüğümüz şekilde davranıyor: (Xp client Domain name: test.bank.com)
75 2010-01-04 18:26:08.124843 10.38.201.60 10.38.61.80 DNS Standard query response, No such name
76 2010-01-04 18:52:17.461725 10.38.61.228 10.38.201.60 DNS Standard query A portal.hrYukarıda görüldüğü gibi client multi-label (portal.hr) ile DNS sunucusundan ismi çözemedikten hemen sonra DNS suffix ekleyerek devam etmesi gerekiyor ve test.bank.com ekleyerek isim çözümlemesini yapabiliyor. Burad beklenti Windows 7’inin de aynı şekilde davranmasıdır. Bu özellike varsayılan olarak Windows 7’de aktif değildir. Ancak bir policy değişikliği ile ektif hale getirilebilir: Group Policy location > Computer Configuration > Administrative Templates > Network > DNS Client > Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries = Enabled Bu değişiklik sonrası Windows 7 client’da aynı şekilde isim çözümlemesini yapabildiğini gördük. Ancak bu sefer karşına farklı bir değişikliğin sebep olduğu bir engel çıktı. Cliet isim çözümlemesini yaptıktan hemen sonra Web Portal üzerinden authentication gerçekleştirmek istediğinde KDC_ERR_ETYPE_NOSUPP hatası alıyordu. AD ortamında bir client herhangi bir servis için istediği service ticket’ın şifrelenme yöntemini desteklemiyorsa bu hatayı alacaktır. Windows 7 ve Windows Server 2008 R2 DES şifreleme yöntemini “varsayılan” olarak desteklememektedir. Örnek vermek gerekirse:
77 2010-01-04 18:52:17.461725 10.38.201.60 10.38.61.228 DNS Standard query response, No such name
78 2010-01-04 18:52:17.461725 10.38.61.228 10.38.201.60 DNS Standard query A portal.hr.test.bank.com
79 2010-01-04 18:52:17.461725 10.38.201.60 10.38.61.228 DNS Standard query response A 10.34.181.32
Kerberos TGS-REPBu service ticket’da görülebileceği gibi şifreleme metodu olarak DES kullanılmıştır. Windows 7 ve Windows Server 2008 R2 sistemlerin DES şifreleme metodunu desteklemesi için aşağıdaki policy değişkliğini yapmak gerekiyor: Computer Configuration\Security Settings\Local Policies\Security Options\ Configure encryption types allowed for Kerberos Alıntı: Technet
Record Mark: 1639 bytes
Pvno: 5
MSG Type: TGS-REP (13)
Client Realm: TEST.BANK.COM
Client Name (Principal): W7_Client
Ticket
Tkt-vno: 5
Realm: TEST.BANK.COM
Server Name (Service and Instance): HTTP/webserver.test.bank.com
Name-type: Service and Instance (2)
Name: HTTP
Name: webserver.test.bank.com
enc-part des-cbc-md5
enc-part rc4-hmac
