MVP: System Center Cloud and Datacenter Management, MCT, MCSE, MCITP, MCPD, MCDBA
MVP Logo

Últimos posts

Categorias

Arquivo

Tags

Lançamento da Campanha Windows Server League

A Microsoft está com uma iniciativa de divulgação do Windows Server 2012 que incluirá um time de 10 especialistas, a Windows Server League.

Cada um dos 10 especialistas possui experiência em um campo diferente e com um perfil profissional específico. Será muito útil para a comunidade técnica conhecer estes perfis conforme forem divulgados e saber a especialidade e foco de cada um.

Fui um dos escolhidos para fazer parte dessa iniciativa, o que me deixou muito contente em poder contribuir e contar com o apoio na divulgação do conteúdo. Como trabalho com servidores, e nos últimos anos me especializei em atendimento à clientes corporativos, irei focar em virtualização e clusterização com Windows Server 2012.

Fique atento e aproveite a oportunidade para trocar experiências com esse time de profissionais e aprender mais sobre do que o Windows Server é capaz e pode oferecer de benefícios para você e seu negócio.

selo_social_footer.jpg

Posted: dez 10 2012, 00:01 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Filed under:

Gravação do Webcast “Utilizando o DPM 2012 de forma eficiente”

image

Ontem realizei o webcast para o MVP IT Show Cast (mvpitshowcast.wordpress.com) sobre System Center Data Protection Manager 2012.

O evento contou com boa participação e fizemos diversos exercicios como:

  • Conceitos e definições gerais
  • Conceito de backups Long-term, Short-term e VTL
  • Criando e Administrando agentes, Protection Groups e Windows Azure backups
  • Monitorando os jobs de backup
  • Restauração de dados
  • Utilização de tapes eficiente

Para quem não pode assistir e quiser ver a gravação, acesse:

https://msevents.microsoft.com/CUI/EventDetail.aspx?culture=pt-BR&EventID=1032528660&CountryCode=BR

Posted: dez 05 2012, 10:21 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Login
Marcelo de Moraes Sincic | All posts tagged 'kdc'
MVP: System Center Cloud and Datacenter Management, MCT, MCSE, MCITP, MCPD, MCDBA
MVP Logo

Últimos posts

Categorias

Arquivo

Tags

Alteração no Kerberos do Windows 2012 pode causar Acesso Negado

Em uma reunião com os Microsoft PFEs Gilson Banin e Marcelo Ferratti foi comentado sobre uma alteração no método como o Windows 2012 gera um Ticket de autenticação pelo Kerberos, chamado de “KDC Resource SID Compression”.

Situação Atual

Como já é sabido, um Ticket de autenticação leva o SID do usuário e dos grupos do qual ele faz parte, além do SID History em casos de migração anterior. Em alguns casos, principalmente dominios muito grandes, o Ticket podia estourar o limite padrão de 12 Kb e gerar problemas na autenticação. Vale lembrar que pelo mesmo motivo um usuário não pode fazer parte de mais do que 1024 grupos.

Atuamente o Ticket (PAC) é composto por SIDs completos: Os valores padrão de identificação (S-1-5), o SID do dominio e o RID individual do objeto no ultimo bloco:

  • S-1-5-21-3419695430-3854377854-1234
  • S-1-5-21-3419695430-3854377854-1466
  • S-1-5-21-3419695430-3854377854-1675
  • S-1-5-21-4533280865-6432248977-6523
  • S-1-5-21-4533280865-6432248977-6578

Alteração no Windows 2012

A mudança no KDC consiste em não mais incluir no Ticket dados repetidos, com isso o Ticket gerado por um Domain Controller com Windows 2012 fica com menor tamanho e resolve o problema de ser necessário a alteração do tamanho do Ticket.

Assim, o mesmo exemplo anterior de Ticket ficaria:

  • S-1-5-21-3419695430-3854377854-1234
  • -1466
  • -1675
  • S-1-5-21-4533280865-6432248977-6523
  • -6578

O problema é que servidores anteriores ao Windows 2012 não “entendem” o novo Ticket e só permitirá acesso as ACEs que sejam completas, portanto o usuário conseguiria acessar locais onde a permissão foi concedida nos casos 1 e 4 do exemplo, mas não acessaria caso a permissão seja de um dos outros SIDs.

Conclusão

Em um dominio onde ainda existam servidores anteriores ao Windows 2012, o que inclui o Windows 2008 R2, o acesso ao servidor de arquivos, Exchange e qualquer outro que seja baseado no Kerberos terá problemas de acesso negado.

Remediação

Crie a chave de Registry Dword DisableResourceGroupsFields  em HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kdc\Parameters para desabilitar este recurso.

 

Mais Informações: http://support.microsoft.com/kb/2774190

Posted: out 28 2012, 23:20 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Login