Бронируем NTLM в домене Active Directory

Or what every reason you need to manually remove a DC from AD follow these steps

Безопасное использование протоколов семейства Lan Manager (NTLMvв частности)

  • Прощаемся с LM
  • Возможные побочные следствия отключения LM
  • Полное отключение LM
  • Выключаем хранение LM-хэшей
  • Удаление хранящихся LM-хэшей
  • Выключение отправки LM-запроса и LM-ответа по сети
  • Препятствование генерации LM-хэшей
  • Прощаемся с NTLMv1
  • То, что будет иметь потенциальные проблемы от отключения NTLMv1
  • PPP-соединения и NTLMv1
  • Защита RPC-запросов
  • Защита RDP Gateway от использования NTLMv1
  • Включаем Extended Protection for Authentication
  • Используем группу Protected Users
  • Настраиваем NTLMv2

Что вызывает ошибку «Не удалось связаться с контроллером домена Active Directory для домена» в Windows 10?

Изучив этот вопрос, мы обнаружили, что проблема часто обусловлена ​​следующими факторами:

  • Неверная конфигурация DNS: как мы упоминали выше, основной причиной ошибки является неправильная конфигурация DNS. Настройка DNS может быть легко перенастроена для устранения проблемы.
  • Службы DNS: в некоторых случаях ошибка также может возникать из-за неисправной службы DNS. Перезапуск службы, кажется, решает проблему.

Теперь, чтобы устранить проблему, следуйте приведенным ниже решениям. Как всегда, мы рекомендуем следовать в том же порядке, как указано ниже.

Решение 1. Добавьте новую конфигурацию DNS

Поскольку основной причиной проблемы является конфигурация DNS, добавление новой конфигурации DNS в соответствии с вашим доменом должно решить проблему. Для этого сначала вам нужно будет войти в систему, которую вы пытаетесь добавить. После этого следуйте инструкциям внизу:

  1. Перейти Центр коммуникаций и передачи данных настройки, перейдя в Панель управления и в поисках Центр коммуникаций и передачи данных. Центр коммуникаций и передачи данных
  2. Перед используемой сетью нажмите,Ethernet».
  3. Когда появится новое окно, перейдите к свойства.
  4. В списке выделите Протокол Интернета версии 4 (TCP / IPv4) и нажмите свойства. Свойства Ethernet
  5. Нажмите продвинутый а затем переключитесь на DNS Вкладка.
  6. Под ‘Адреса DNS-сервера’, Нажмите добавлять а затем введите IP вашего контроллера домена в окне Добавление DNS-адреса
  7. Удар ОК на всех окнах что вы открыли, а затем перезагрузите систему.
  8. Попробуйте присоединиться к домену еще раз.

Решение 2. Перезапуск службы DNS

В некоторых определенных случаях появляется сообщение об ошибке из-за неправильной работы служб DNS. Эта проблема может быть легко решена путем простого перезапуска служб. Вот как это сделать:

  1. Нажмите Windows Key + R открыть Бежать.
  2. Введите ‘’, А затем нажмите Enter.
  3. Из списка услуг найдите DNS-клиент оказание услуг. Служба DNS-клиента
  4. Щелкните правой кнопкой мыши и выберите Запустить снова.
  5. Если вы не можете перезапустить службу, просто откройте командную строку с повышенными правами, нажав Windows Key + X и выбрав Командная строка (администратор) из списка.
  6. Введите следующую команду и нажмите Enter:

    чистый стоп dnscache

    Остановка службы DNS

  7. Чтобы начать снова, введите:

    чистый старт dnscache

    Запуск службы DNS

  8. После этого попробуйте присоединиться к домену.

Решение 3. Подключение через окно настроек

Наконец, вы также можете решить свою проблему, подключившись к домену другим способом. Обычно пользователи подключают систему к домену, используя системные свойства. Однако вы также можете подключиться к домену, используя следующий метод:

  1. в Поиск Кортана бар, введите Варианты входа и затем откройте это.
  2. Переключиться на ‘Доступ к работе или школеВкладка.
  3. Нажмите на соединять.
  4. Появится новое окно, нажмите ‘Присоедините это устройство к локальному домену Active Directory». Настройка устройства
  5. Введите имя домена. Убедитесь, что вы вводите имя домена вместе с .местный ().
  6. После этого он попросит администратор и пароль.
  7. Введите учетные данные, а затем перезапустите систему.

Пароли из SYSVOL и GPP

На каждом компьютере с Windows, который работает в сети с Active Directory, имеется встроенная учетная запись администратора, защищенная паролем. Одно из стандартных требований безопасности — регулярно менять этот пароль. Казалось бы, задача несложная. Но только не когда в сети насчитывается под сотню машин.

Чтобы облегчить себе жизнь, ленивые системные администраторы иногда используют групповые политики для установки пароля локального администратора на большом количестве рабочих станций. Это довольно удобно, да и заменить такой пароль, когда придет срок, можно за пару минут. Одна незадача: на всех компьютерах пароль локального админа будет одинаковый.

Из этого следует вывод: получение учетных данных администратора на одной из машин сделает злоумышленника админом сразу на всех. Рассмотрим два способа добиться такого результата.

Пароли из SYSVOL и GPP

Учетные данные в SYSVOL

SYSVOL — это общедоменный ресурс Active Directory, к которому у всех авторизованных пользователей есть доступ на чтение. SYSVOL содержит сценарии входа, данные групповой политики и другие данные, которые должны быть доступны везде, где распространяется политика домена. При этом SYSVOL автоматически синхронизируется и используется всеми контроллерами домена. Все групповые политики домена хранятся по адресу

\\<Домен>\SYSVOL\<Домен>\Policies\

Чтобы упростить управление локальной учетной записью администратора на удаленных компьютерах с Windows, для каждой из них можно использовать собственный сценарий смены пароля. Проблема в том, что часто пароль хранится в виде открытого текста в скрипте (например, в файле VBS), который, в свою очередь, находится в SYSVOL. Вот пример одного из результатов поиска сценария VBS, меняющего пароль локального администратора на сетевых машинах.

Пример VBS-скрипта с официального сайта MSDN

Этот сценарий доступен в галерее Microsoft TechNet, из-за чего нередко используется системными администраторами, которые предпочитают готовые решения. Извлечь из него пароль не составляет никакого труда. А поскольку скрипт хранится в SYSVOL, к которому у каждого пользователя домена есть доступ для чтения, наличие пароля автоматически превращает его обладателя в локального администратора на всех сетевых машинах с виндой на борту.

Настройки групповой политики

Пароли из SYSVOL и GPP

В 2006 году инструмент PolicyMaker от Microsoft Bought Desktop Standard был переименован и выпущен вместе с Windows Server 2008 как Group Policy Preferences (GPP, «предпочтения групповой политики»). Одна из наиболее полезных функций GPP — возможность создавать локальных пользователей, настраивать и изменять их учетки, а также сохранять учетные данные в нескольких файлах сценариев:

  • карта дисков ();
  • источники данных ();
  • конфигурация принтера ();
  • создание/обновление сервисов ();
  • запланированные задачи ().

Инструмент, безусловно, полезный: с его помощью можно автоматизировать многие рутинные действия. Например, GPP позволяет использовать групповую политику для выполнения запланированных задач с заданными учетными данными, а также при необходимости менять пароли локального администратора на большом количестве компьютеров.

Теперь давай посмотрим, как эта штука работает. При создании нового предпочтения групповой политики в SYSVOL генерируется связанный XML-файл с соответствующими данными конфигурации. Если в ней указан пароль пользователя, он будет зашифрован AES 256 бит. Но в 2012 году Microsoft опубликовала в MSDN ключ AES, который можно использовать для расшифровки пароля.

Ключ шифрования, представленный MSDN

Иными словами, любой авторизованный в домене юзер может найти в общем ресурсе SYSVOL файлы XML, содержащие cpassword, то есть зашифрованный пароль AES.

Пример содержимого файла

Быстро найти эти значения можно следующей командой:

Пароли из SYSVOL и GPP

C:\> findstr /S /I cpassword \\<FQDN>\sysvol\<FQDN>\policy\*. xml

Для расшифровки пароля можно воспользоваться инструментом Cryptool, при этом нужно в ручном режиме декодировать Base64 и указать ключ с MSDN (подробная инструкция по расшифровке приведена в статье на Хабре). Существует и полностью автоматизированное средство под названием gpp-decrypt, которое требует только значение cpassword и уже предустановлено в Kali Linux. Аналогичная утилита для Windows называется Get-GPPPassword, ее можно отыскать в наборе программ PowerSploit.

Ну а для очень ленивых есть модуль smb_enum_gpp из набора Metasploit. Этот инструмент попросит указать только учетные данные пользователей и адрес контроллера домена.

Так мы можем получить пароль локального администратора, и в большинстве случаев он будет работать на всех компьютерах домена.

Удаление вышедшего из строя контроллера домена из Active Directory

Может случится ситуация, когда нам необходимо по каким-то причинам вывести контроллер домена из AD (физический выход из строя сервера, например) . При этом необходимо выполнить правильное удаление неактивного DC из Active Direcroty. Проведем пошаговое удаление вышедшего из строя контроллера домена из Active Directory с помощью утилиты NTDSutil.

1. Выполним вход на работающий контролер домена под учетной записью администратора домена.

Удаление вышедшего из строя контроллера домена из Active Directory

2. В командной строке Windows или в окне PowerShell наберем команду:

Операционная система запросит у вас подтверждение на запуск приложения с расширенными правами. Согласимся и продолжим.

3. Далее введем команду:

Удаление вышедшего из строя контроллера домена из Active Directory

Кстати, команды в утилите ntdsutil вводить полностью не обязательно, т.е. ввести указанную выше команду можно met cle. Приложение поймет вас!

4. Далее введём команду

В результате отработки этой команды будет выведено приглашение на подключение к серверу:

Удаление вышедшего из строя контроллера домена из Active Directory

5. Далее необходимо подключиться к исправному контролеру домена командой: connect to server ServerName, где ServerName — имя исправного DC с которого будет производиться процедура удаления.

6. После успешного подключения к работоспособному DC выходим из server connections командой quit и нажимаем ввод — появляется приглашение metadata cleanup:

7. Вводим команду: select operation target

Удаление вышедшего из строя контроллера домена из Active Directory

8. Просмотрим список имеющихся у нас доменов командой: list domains, где «0» — порядковый номер домена, в котором находится неисправный DC; «College» — имя вашего домена. В моем примере в лесу имеется единственны домен под номером «0»

9. Выбираем интересующий нас домен командой: select domain 0

10. Посмотрим список сайтов выбранного нами домена с помощью команды list site

Удаление вышедшего из строя контроллера домена из Active Directory

11. Выбирем сайт, в котором состоит неисправный DC командой: select site 0 (в моем случае это Default-First-Site-Name)

12. Команда list servers in site – выводит список DC в выбранном нами сайте. Необходимо запомнить каким числом представлен неисправный DC и ввести эту цифру в следующей операции:

13. Выбираем неисправный DC командой: select server 1 (где «1» номер неисправного DC, который необходимо удалить).

Удаление вышедшего из строя контроллера домена из Active Directory

14. Командой quit — выходим из приглашения select operation target и попадаем в metadata cleanup

15. Командой remove selected server мы вызовем диалоговое сообщение, которое предупредит вас об выбранной операции удаления неисправного DC. Прочтите его и если уверены в решении удалить выбранный DC – нажмите «ДА»

16. Выйдем из утилиты ntdsutil командой quit (или просто введите букву q и нажмите ВВОД).

Удаление вышедшего из строя контроллера домена из Active Directory

17. Откройте оснастку Active Directory Users and Computers и убедитесь в отсутствии объекта неисправного контроллера домена (того, что мы только что удалили) в OU Domain Controllers

18. Откройте оснастку Active Directory Sites and Services выберите сайт, из которого мы удаляли неисправный DC, раскройте контейнер Servers и удалите объект неисправного DC с помощью вызова контекстного меню.

19. Откройте оснастку DNS и там так же удалите всю оставшуюся информацию об уделенном нами неисправном DC во всех зонах и вложенных в них контейнерах.

Понижение контроллера домена

Первым шагом понизим наш сервер до рядового сервера. Это можно сделать с помощью графического интерфейса, Powershell или командной строки.

Графика

Открываем Диспетчер серверов и переходим в УправлениеУдалить роли и компоненты:

Если откроется окно с приветствием, то просто нажимаем Далее (при желании, можно поставить галочку Пропускать эту страницу по умолчанию):

В окне «Выбор целевого сервера» выбираем сервер, для которого мы будем понижать уровень AD:

. и нажимаем Далее.

Снимаем галочку Доменные службы Active Directory. откроется окно в котором отобразится список компонентов для удаления — нажимаем Удалить компоненты:

Система вернет ошибку с предупреждением, что сначала нужно понизить AD — кликаем по ссылке Понизить уровень этого контроллера домена:

В следующем окне мы увидим предупреждение о том, что компьютер будет перезагружен и возможность принудительно понизить уровень — просто нажимаем Далее:

Система отобразит роли AD, которые будут удалены. Ставим галочку Продолжить удаление и нажимаем Далее:

Вводим дважды пароль учетной записи локального администратора, который будет использоваться после понижения до рядового сервера:

Кликаем по Понизить уровень:

Процесс займет какое-то время. После мы увидим «Уровень контроллера домена Active Directory успешно понижен»:

Сервер автоматически будет перезагружен.

Powershell

Открываем консоль Powershell от администратора и вводим:

Система запросит пароль для локальной учетной записи администратора, которая будет использоваться после понижения — задаем новый пароль дважды:

LocalAdministratorPassword: ********** Подтвердить LocalAdministratorPassword: **********

Мы получим предупреждение о перезагрузки сервера. Соглашаемся:

После завершения этой операции сервер будет автоматически перезапущен. Когда вы удалите доменные службы Active Directory на последнем контроллере домена, этот домен перестанет существовать. Вы хотите продолжить эту операцию? [Y] Да — Y [A] Да для всех — A [N] Нет — N [L] Нет для всех — L [S] Приостановить — S [?] Справка (значением по умолчанию является «Y»): A

Для выполнения команды уйдет некоторое время, после чего сервер уйдет в перезагрузку.

Читайте также:  Ошибка 0xc0000221 в Windows 10: инструкция по исправлению