Em um post anterior comentei que para administrar um servidor Windows 2008 R2 com o Server Manager do Windows 2012 (http://www.marcelosincic.com.br/blog/post/Monitorando-Servidores-Windows-2008-R2-com-o-Windows-2012-Server-Manager.aspx) bastava instalar o Windows Manager Framework 3.0 (WMF 3.0).

Recentemente o WMF 3.0 passou a ser oferecido como opcional no Windows Update.

Porem, agora surgem avisos de que ele causa alguns comportamentos indesejados no Exchange 2007/2010 e SCCM 2012, com isso é bom verificar se o produto instalado no servidor será afetado. Os dois produtos estão confirmados, mas existem muitos relatos em foruns de problemas com scripts para SharePoint e .NET

Ou seja, pelo que é possivel entender o WMF 3.0 afeta o funcionamento do IIS e aplicações que utilizam o IIS e .NET ficam comprometidas.

Windows Management Framework 3.0 on Exchange 2007 and Exchange 2010

Configuration Manager Management Points collocated with clients fail after installing Windows Management Framework 3.0 and running Client Health Evaluation

Na palestra de sábado, focamos o System Center de forma diferente. Ao invés de abordar todos os produtos e o cada um deles faz, o foco foi centralizado nas capacidades que são utilizadas em gerenciamento de Private Clouds, por exemplo, no SCCM cobrimos as funcionalidades de DCM e Software Update, já que as outras não são utilizadas em escala significativa para Private Cloud.

Em uma reunião com os Microsoft PFEs Gilson Banin e Marcelo Ferratti foi comentado sobre uma alteração no método como o Windows 2012 gera um Ticket de autenticação pelo Kerberos, chamado de “KDC Resource SID Compression”.

Situação Atual

Como já é sabido, um Ticket de autenticação leva o SID do usuário e dos grupos do qual ele faz parte, além do SID History em casos de migração anterior. Em alguns casos, principalmente dominios muito grandes, o Ticket podia estourar o limite padrão de 12 Kb e gerar problemas na autenticação. Vale lembrar que pelo mesmo motivo um usuário não pode fazer parte de mais do que 1024 grupos.

Atuamente o Ticket (PAC) é composto por SIDs completos: Os valores padrão de identificação (S-1-5), o SID do dominio e o RID individual do objeto no ultimo bloco:

• S-1-5-21-3419695430-3854377854-1234
• S-1-5-21-3419695430-3854377854-1466
• S-1-5-21-3419695430-3854377854-1675
• S-1-5-21-4533280865-6432248977-6523
• S-1-5-21-4533280865-6432248977-6578

Alteração no Windows 2012

A mudança no KDC consiste em não mais incluir no Ticket dados repetidos, com isso o Ticket gerado por um Domain Controller com Windows 2012 fica com menor tamanho e resolve o problema de ser necessário a alteração do tamanho do Ticket.

Assim, o mesmo exemplo anterior de Ticket ficaria:

• S-1-5-21-3419695430-3854377854-1234
• -1466
• -1675
• S-1-5-21-4533280865-6432248977-6523
• -6578

O problema é que servidores anteriores ao Windows 2012 não “entendem” o novo Ticket e só permitirá acesso as ACEs que sejam completas, portanto o usuário conseguiria acessar locais onde a permissão foi concedida nos casos 1 e 4 do exemplo, mas não acessaria caso a permissão seja de um dos outros SIDs.

Conclusão

Em um dominio onde ainda existam servidores anteriores ao Windows 2012, o que inclui o Windows 2008 R2, o acesso ao servidor de arquivos, Exchange e qualquer outro que seja baseado no Kerberos terá problemas de acesso negado.

Remediação

Crie a chave de Registry Dword DisableResourceGroupsFields  em HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kdc\Parameters para desabilitar este recurso.

Mais Informações: http://support.microsoft.com/kb/2774190