Share via


Windows 7 Client ve multi-label domain isim çözümlemesi ile Kerberos Authentication değişiklikleri

Merhaba,

Önceki yazilarimda DHCP ve DNS sunucularinda yapilan yeniliklerden bahsederken Windows 7 client tarafinda yapilan degisikliklere de deginmistim. Üzerinde çalistigim bir problem kaydi için bilgi verdigim diger önemli iki degisikligi de paylasmak istedim.

Kisaca problem ile ilgili sunu söyleyebilirim: Windows 7 client’lar HR Portaline ulasamiyorlar.

Öncelikle yaptigim Newtork trace incelemesinde client’larin portalin adresini çözemediklerini ögrendik. Örnek olarak portal adi portal.hr olsun. IE adres çubuguna ismi yazip devam ettigimizde Windows 7 client^’in aldigi devap su sekilde:

74 2010-01-04 18:26:08.124843 10.38.61.80 10.38.201.60 DNS Standard query A portal.hr
75 2010-01-04 18:26:08.124843 10.38.201.60 10.38.61.80 DNS Standard query response, No such name

Daha önce DNS isim çözümleme problemlerinde belirttigim gibi client’in burada FQDN isim çözümlemesi için Domain suffix’i eklemesi veya Suffix search list kullanmasi gerekiyor.

XP client ise bizim düsündügümüz sekilde davraniyor: (Xp client Domain name: test.bank.com)

76 2010-01-04 18:52:17.461725 10.38.61.228 10.38.201.60 DNS Standard query A portal.hr
77 2010-01-04 18:52:17.461725 10.38.201.60 10.38.61.228 DNS Standard query response, No such name
78 2010-01-04 18:52:17.461725 10.38.61.228 10.38.201.60 DNS Standard query A portal.hr.test.bank.com
79 2010-01-04 18:52:17.461725 10.38.201.60 10.38.61.228 DNS Standard query response A 10.34.181.32

Yukarida görüldügü gibi client multi-label (portal.hr) ile DNS sunucusundan ismi çözemedikten hemen sonra DNS suffix ekleyerek devam etmesi gerekiyor ve test.bank.com ekleyerek isim çözümlemesini yapabiliyor.

Burad beklenti Windows 7’inin de ayni sekilde davranmasidir. Bu özellike varsayilan olarak Windows 7’de aktif degildir. Ancak bir policy degisikligi ile ektif hale getirilebilir:

Group Policy location > Computer Configuration > Administrative Templates > Network > DNS Client > Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries = Enabled

Bu degisiklik sonrasi Windows 7 client’da ayni sekilde isim çözümlemesini yapabildigini gördük. Ancak bu sefer karsina farkli bir degisikligin sebep oldugu bir engel çikti. Cliet isim çözümlemesini yaptiktan hemen sonra Web Portal üzerinden authentication gerçeklestirmek istediginde KDC_ERR_ETYPE_NOSUPP hatasi aliyordu. AD ortaminda bir client herhangi bir servis için istedigi service ticket’in sifrelenme yöntemini desteklemiyorsa bu hatayi alacaktir. Windows 7 ve Windows Server 2008 R2 DES sifreleme yöntemini “varsayilan” olarak desteklememektedir. Örnek vermek gerekirse:

Kerberos TGS-REP
Record Mark: 1639 bytes
Pvno: 5
MSG Type: TGS-REP (13)
Client Realm: TEST.BANK.COM
Client Name (Principal): W7_Client
Ticket
Tkt-vno: 5
Realm: TEST.BANK.COM
Server Name (Service and Instance): HTTP/webserver.test.bank.com
Name-type: Service and Instance (2)
Name: HTTP
Name: webserver.test.bank.com
enc-part des-cbc-md5
enc-part rc4-hmac

Bu service ticket’da görülebilecegi gibi sifreleme metodu olarak DES kullanilmistir. Windows 7 ve Windows Server 2008 R2 sistemlerin DES sifreleme metodunu desteklemesi için asagidaki policy degiskligini yapmak gerekiyor:

Computer Configuration\Security Settings\Local Policies\Security Options\ Configure encryption types allowed for Kerberos

 

Okan Çetinim.