Alteração no Kerberos do Windows 2012 pode causar Acesso Negado

28 outubro 2012 msincic Active Directory, Windows, Windows 2003, Windows 2008, Windows 2012

Em uma reunião com os Microsoft PFEs Gilson Banin e Marcelo Ferratti foi comentado sobre uma alteração no método como o Windows 2012 gera um Ticket de autenticação pelo Kerberos, chamado de “KDC Resource SID Compression”.

Situação Atual

Como já é sabido, um Ticket de autenticação leva o SID do usuário e dos grupos do qual ele faz parte, além do SID History em casos de migração anterior. Em alguns casos, principalmente dominios muito grandes, o Ticket podia estourar o limite padrão de 12 Kb e gerar problemas na autenticação. Vale lembrar que pelo mesmo motivo um usuário não pode fazer parte de mais do que 1024 grupos.

Atuamente o Ticket (PAC) é composto por SIDs completos: Os valores padrão de identificação (S-1-5), o SID do dominio e o RID individual do objeto no ultimo bloco:

  • S-1-5-21-3419695430-3854377854-1234
  • S-1-5-21-3419695430-3854377854-1466
  • S-1-5-21-3419695430-3854377854-1675
  • S-1-5-21-4533280865-6432248977-6523
  • S-1-5-21-4533280865-6432248977-6578

Alteração no Windows 2012

A mudança no KDC consiste em não mais incluir no Ticket dados repetidos, com isso o Ticket gerado por um Domain Controller com Windows 2012 fica com menor tamanho e resolve o problema de ser necessário a alteração do tamanho do Ticket.

Assim, o mesmo exemplo anterior de Ticket ficaria:

  • S-1-5-21-3419695430-3854377854-1234
  • -1466
  • -1675
  • S-1-5-21-4533280865-6432248977-6523
  • -6578

O problema é que servidores anteriores ao Windows 2012 não “entendem” o novo Ticket e só permitirá acesso as ACEs que sejam completas, portanto o usuário conseguiria acessar locais onde a permissão foi concedida nos casos 1 e 4 do exemplo, mas não acessaria caso a permissão seja de um dos outros SIDs.

Conclusão

Em um dominio onde ainda existam servidores anteriores ao Windows 2012, o que inclui o Windows 2008 R2, o acesso ao servidor de arquivos, Exchange e qualquer outro que seja baseado no Kerberos terá problemas de acesso negado.

Remediação

Crie a chave de Registry Dword DisableResourceGroupsFields  em HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kdc\Parameters para desabilitar este recurso.

 

Mais Informações: http://support.microsoft.com/kb/2774190

Utilizando Robocopy para Sincronizar Dados do Windows 2012 com NAS (Linux)

16 outubro 2012 msincic Windows 8, Windows, Windows 2008, Windows 2012, Windows 7, Windows 2003

Esta semana precisei migrar dados de um servidor Linux para Windows e passei por um problema que já conhecia, onde em todas as execuções o Robocopy copia novamente os arquivos não alterados com a situação “Modified” ou “Never”.

Possuo um Netgear ReadyNAS Duo para executar VMs e backup de arquivos e na época da compra montei um script para sincronizar dados entre o notebook e o NAS que utiliza ext3, compativel com FAT32.

O problema é que o FAT32 utiliza timestamp nos arquivos com precisão de 2 milisegundos diferentes do NTFS, como mostra o print abaixo. Note que o arquivo da esquerda é o local (S:) e o da direita do NAS e veja a diferença nas tags “Created” e “Modified”:

Print

Para resolver isso existe uma solução muito simples: acrescente o parametro /FFT no final do comando.

Agora a sincronização ocorrerá com sucesso, ainda irá mostrar a mensagem “Changed” nos arquivos na saida do comando, mas ele não irá mais copiar estes arquivos não alterados.

Fonte: http://technet.microsoft.com/pt-br/library/cc733145%28v=ws.10%29.aspx

Anunciado o RTM e Datas do Exchange, Lync, Office e SharePoint 2013

12 outubro 2012 msincic Exchange Server, Office, Sharepoint

A Microsoft anunciou ontem a noite a finalização destes produtos internamente.

Todos os produtos estarão disponiveis em datas diferentes conforme o tipo de cliente e contrato, como acontece com outros produtos.

Produto TechNet/MSDN Clientes SA Público
Office 365 Enterprise   Novembro  
Exchange, SharePoint, Office e Lync 2013 Novembro Download em Novembro, compra em 1º Dezembro 1º Trimestre de 2013
Office RT (para tablets Windows 8)     26/Outubro

Importante: Quem comprar licenças de Office 2012 a partir de 19/Outubro ganhará o direito ao upgrade para o Office 2013.

Alguns tópicos interessantes sobre o Exchange 2013 estão publicados no anuncio, o que ajudará os profissionais a conhecerem as novidades:

  • The New Exchange – Rajesh Jha, Corporate Vice President
  • The New OWA Rocks Tablets and Phones! – Kristian Andaker
  • Managing the New Exchange – Exchange Manageability team
  • Site Mailboxes in the new Office – Alfons Staerk and Andrew Friedman
  • Using EAC to manage multi-forest Exchange deployments – Exchange Manageability team
  • Exchange Online Protection: A Premium Protection and Policy Service for Email – Tony Trivison
  • Comparing Exchange Online and Exchange Server 2013 – Ann Vu
  • The Cloud On Your Terms (PART I): Deploying Hybrid – Ben Appleby, Robert Mazzoli and the Hybrid team
  • The Cloud On Your Terms (PART II): Managing Hybrid – Warren Johnson
  • Lessons from the Datacenter: Managed Availability – Ross Smith IV
  • Keeping Your Organization Safe with the New Exchange – Harv Bhela, General Manager
  • In-Place Archiving – Ankur Kothari
  • In-Place eDiscovery and In-Place Hold in the New Exchange (Part I) – Bharat Suneja and Julian Zbogar-Smith
  • Introducing Data Loss Prevention in the New Exchange – John Andrilla
  • In-Place eDiscovery and In-Place Hold in the New Exchange (Part II) – Bharat Suneja and Julian Zbogar-Smith
  • Managing High Availability with the EAC – Bin Sun

    • Fonte: http://blogs.office.com/b/office-news/archive/2012/10/11/office-reaches-rtm.aspx