Windows Server 2016 и плановая смена пароля

Темы, которые не попадают в остальные категории.
Ответить
dooblikator
Сообщения: 2
Зарегистрирован: Ср сен 06, 2017 1:53 pm

Windows Server 2016 и плановая смена пароля

Сообщение dooblikator » Ср янв 31, 2018 4:41 pm

Добрый день!

После перехода на Windows Server 2016 в качестве терминального сервера окно авторизации пользователя приобрело такой вид

Изображение

И все бы ничего (хотя непривычно и пользователи пугаются поначалу), но у нас действует политика смены пароля через каждые 60 дней. Обычно, при работе на компьютере с windows, либо через RDP, либо через WTWARE с использованием WinServer 2008r2, если пароль просрочен, то после вводы пароля при входе в систему пользователю предлагалось принудительно сменить пароль. А после перехода на 2016 при попытке пользователя залогиниться с просроченным паролем выскакивает совершенно неинформативная для пользователя ошибка

Изображение

Приходится каждому пользователю менять пароль в ручном режиме.

Подскажите, пожалуйста, как решить эту проблему, а лучше всего, как вернуться к виндовому окну ввода логина/пароля.

aka
Разработчик
Разработчик
Сообщения: 10058
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Windows Server 2016 и плановая смена пароля

Сообщение aka » Ср янв 31, 2018 4:54 pm

Отключить NLA на сервере: https://wtware.ru/win/nla.html

TechnoDom
Сообщения: 31
Зарегистрирован: Чт авг 21, 2014 11:23 am
Контактная информация:

Re: Windows Server 2016 и плановая смена пароля

Сообщение TechnoDom » Пт мар 29, 2019 1:35 pm

Доброго времени. Напишу в этой теме. Проблема аналогичная, только у нас терминальная ферма на Windows Server 2016. Если отключить NLA то пользователи не могут с wtware залогиниться. Получают ошибку что у них нет доступа подключаться к данному терминальному серверу и их надо добавить в группу удаленных рабочих столов. Такое ощущение, что после отключения NLA они не к коллекции сеансов пытаются подключиться через балансировщик, а непосредственно на брокер логинятся. При этом из винды через RDP файл подключаются на ура. Помогите пожалуйста разобраться с этой проблемой.

aka
Разработчик
Разработчик
Сообщения: 10058
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Windows Server 2016 и плановая смена пароля

Сообщение aka » Пт мар 29, 2019 2:16 pm

А логи где?

TechnoDom
Сообщения: 31
Зарегистрирован: Чт авг 21, 2014 11:23 am
Контактная информация:

Re: Windows Server 2016 и плановая смена пароля

Сообщение TechnoDom » Пт мар 29, 2019 2:28 pm

Вот кусок где подключается с NLA

Код: Выделить всё

16-40-43-853| [        rdpsnd] [ 1259.143430] Link lost.
16-40-45-710| [            gm] [ 1261.025480] Run '/sbin/resolver 0x1d40718 dns [vm-term-cb01.technodom.kz]', log '', env '', pid ''.
16-40-45-928| [          pfac] [ 1261.025649] Run /sbin/resolver 0x1d40718 dns [vm-term-cb01.technodom.kz].
16-40-45-928| [          pfac] [ 1261.025665] Ok, PID 977.
16-40-45-944| [          pfac] [ 1261.027825] Process pid 977 terminated, status 00000000.
16-40-45-959| [            gm] [ 1261.030034] vm-term-cb01.technodom.kz => 172.16.12.152.
16-40-55-944| [            gm] [ 1271.264231] Free ram before fork terminal client /sbin/rdpclient-SSE (session 5): 1892636 Kb.
16-40-55-959| [            gm] [ 1271.264292] Run '/sbin/rdpclient-SSE 5', log '/tmp/rdpclient.out', env '', pid ''.
16-40-55-959| [          pfac] [ 1271.264401] Run /sbin/rdpclient-SSE 5.
16-40-55-959| [          pfac] [ 1271.264414] Ok, PID 978.
16-40-55-975| [ rdpclient 978] [ 1271.265740] RDP Terminal Client, WTware 5.8.34, pipe 5, pid 978.
16-40-55-975| [ rdpclient 978] [ 1271.268226] Use /lib/ui32-SSE.so.
16-40-55-975| [ rdpclient 978] [ 1271.268364] Redirect sound.
16-40-55-991| [ rdpclient 978] [ 1271.270155] Make RDP session with 172.16.12.152, port 3389.
16-40-55-991| [ rdpclient 978] [ 1271.270179]  Username: "tsexpress".
16-40-56-006| [ rdpclient 978] [ 1271.270191]  Password: present.
16-40-56-006| [ rdpclient 978] [ 1271.270203]  No PIN.
16-40-56-022| [ rdpclient 978] [ 1271.270214]  Domain: "technodom".
16-40-56-022| [ rdpclient 978] [ 1271.270238]  No shell.
16-40-56-037| [ rdpclient 978] [ 1271.270249]  No directory.
16-40-56-037| [ rdpclient 978] [ 1271.270260]  Window: 1600x900@24.
16-40-56-037| [ rdpclient 978] [ 1271.270270]  Second monitor: [1600:0..3199:899].
16-40-56-037| [ rdpclient 978] [ 1271.270280]  PFlags 0x00000184.
16-40-56-053| [ rdpclient 978] [ 1271.270291]  Keyboard 00000409:00000000.
16-40-56-053| [ rdpclient 978] [ 1271.270301]  My hostname "wtw001999D40420".
16-40-56-069| [ rdpclient 978] [ 1271.270311] TCP: connecting to 172.16.12.152:3389.
16-40-56-069| [ rdpclient 978] [ 1271.270607] TCP: connection with 172.16.12.152:3389 established.
16-40-56-084| [ rdpclient 978] [ 1271.270621] Turn keepalive on.
16-40-56-084| [ rdpclient 978] [ 1271.270793] Free ram after buffers allocation: 1892264 KB.
16-40-56-084| [ rdpclient 978] [ 1271.270804] Use Balance Info 52 bytes: 'tsv://MS Terminal Services Plugin.1.vm-terminal-2016'.
16-40-56-084| [ rdpclient 978] [ 1271.274004] Reconnect with NLA enabled.
16-40-56-100| [ rdpclient 978] [ 1271.274023] TCP: reconnecting to 172.16.12.152:3389.
16-40-56-100| [ rdpclient 978] [ 1271.274309] TCP: connection with 172.16.12.152:3389 established.
16-40-56-115| [ rdpclient 978] [ 1271.274322] Turn keepalive on.
16-40-56-115| [ rdpclient 978] [ 1271.274333] Use Balance Info 52 bytes: 'tsv://MS Terminal Services Plugin.1.vm-terminal-2016'.
16-40-56-131| [ rdpclient 978] [ 1271.276507] Server supports GFX Pipeline.
16-40-56-131| [ rdpclient 978] [ 1271.276523] NLA.
16-40-56-131| [ rdpclient 978] [ 1271.276535] SSL/TLS.
16-40-56-147| [ rdpclient 978] [ 1271.303546] Enable font smoothing and Desktop Composition.
16-40-56-147| [ rdpclient 978] [ 1271.368702] Server Redirection flags 0x00000b0d.
16-40-56-147| [ rdpclient 978] [ 1271.368735]  Server 172.16.12.151.
16-40-56-162| [ rdpclient 978] [ 1271.368750]  User "tsexpress".
16-40-56-162| [ rdpclient 978] [ 1271.368762]  Domain "TECHNODOM".
16-40-56-162| [            gm] [ 1271.368772] TSClient (sessionId 5, pid 978) gracefully end.
16-40-56-162| [ rdpclient 978] [ 1271.368776] Send Disconnect Provider Ultimatum.
16-40-56-178| [          pfac] [ 1271.369067] Run /sbin/rdpclient-SSE 6.
16-40-56-178| [            gm] [ 1271.369077] Free ram before fork terminal client /sbin/rdpclient-SSE (session 6): 1892140 Kb.
16-40-56-193| [          pfac] [ 1271.369091] Ok, PID 979.
16-40-56-193| [            gm] [ 1271.369095] Run '/sbin/rdpclient-SSE 6', log '/tmp/rdpclient.out', env '', pid ''.
16-40-56-209| [        rdpsnd] [ 1271.369236] Link lost.
16-40-56-209| [          pfac] [ 1271.369295] Process pid 978 terminated, status 00000009.
16-40-56-209| [ rdpclient 979] [ 1271.370502] RDP Terminal Client, WTware 5.8.34, pipe 6, pid 979.
16-40-56-209| [ rdpclient 979] [ 1271.370885] Use /lib/ui32-SSE.so.
16-40-56-225| [ rdpclient 979] [ 1271.371023] Redirect sound.
16-40-56-225| [ rdpclient 979] [ 1271.371091] Make RDP session with 172.16.12.151, port 3389.
16-40-56-240| [ rdpclient 979] [ 1271.371113]  Username: "tsexpress".
16-40-56-240| [ rdpclient 979] [ 1271.371132]  Password: present.
16-40-56-240| [ rdpclient 979] [ 1271.371150]  No PIN.
16-40-56-240| [ rdpclient 979] [ 1271.371169]  Domain: "TECHNODOM".
16-40-56-256| [ rdpclient 979] [ 1271.371187]  No shell.
16-40-56-256| [ rdpclient 979] [ 1271.371206]  No directory.
16-40-56-256| [ rdpclient 979] [ 1271.371225]  Window: 1600x900@24.
16-40-56-271| [ rdpclient 979] [ 1271.371246]  Second monitor: [1600:0..3199:899].
16-40-56-271| [ rdpclient 979] [ 1271.371265]  PFlags 0x00000184.
16-40-56-271| [ rdpclient 979] [ 1271.371284]  Keyboard 00000409:00000000.
16-40-56-287| [ rdpclient 979] [ 1271.371303]  My hostname "wtw001999D40420".
16-40-56-287| [ rdpclient 979] [ 1271.371323] TCP: connecting to 172.16.12.151:3389.
16-40-56-287| [ rdpclient 979] [ 1271.371720] TCP: connection with 172.16.12.151:3389 established.
16-40-56-287| [ rdpclient 979] [ 1271.371755] Turn keepalive on.
16-40-56-303| [ rdpclient 979] [ 1271.371955] Free ram after buffers allocation: 1891816 KB.
16-40-56-303| [ rdpclient 979] [ 1271.371981] Empty Balance Info.
16-40-56-318| [ rdpclient 979] [ 1271.375832] Reconnect with NLA enabled.
16-40-56-318| [ rdpclient 979] [ 1271.375872] TCP: reconnecting to 172.16.12.151:3389.
16-40-56-318| [ rdpclient 979] [ 1271.376204] TCP: connection with 172.16.12.151:3389 established.
16-40-56-318| [ rdpclient 979] [ 1271.376239] Turn keepalive on.
16-40-56-334| [ rdpclient 979] [ 1271.376271] Empty Balance Info.
16-40-56-334| [ rdpclient 979] [ 1271.378857] Server supports GFX Pipeline.
16-40-56-334| [ rdpclient 979] [ 1271.378888] NLA.
16-40-56-349| [ rdpclient 979] [ 1271.378909] SSL/TLS.
16-40-56-349| [ rdpclient 979] [ 1271.391235] Redirected Session ID 0x00000000.
16-40-56-349| [ rdpclient 979] [ 1271.394275] Enable font smoothing and Desktop Composition.
16-40-56-365| [ rdpclient 979] [ 1271.397537] RDP5 encryption (X.509).
16-40-56-365| [ rdpclient 979] [ 1271.457570] GFX codec.
16-40-56-490| [ rdpclient 979] [ 1271.816542] LOGON_EX_LOGONERRORS: ErrorNotificationType 0xfffffffe, ErrorNotificationData 0x00000026.
16-40-56-708| [ rdpclient 979] [ 1271.869616] Run 2 tile threads.
16-40-58-424| [ rdpclient 979] [ 1273.738340] SessionId 0x00000026: TECHNODOM\tsexpress.
16-41-16-833| [ rdpclient 979] [ 1292.148025] errorInfo 0x0000000c.
16-41-17-036| [ rdpclient 979] [ 1292.148055] ERRINFO_LOGOFF_BY_USER: The disconnection was initiated by the user logging off his or her session on the server.
16-41-17-036| [ rdpclient 979] [ 1292.251463] Receive Disconnect Provider Ultimatum.
16-41-17-051| [            gm] [ 1292.251500] TSClient (sessionId 6, pid 979) gracefully end.
16-41-17-067| [        rdpsnd] [ 1292.255364] Link lost.
А вот с отключенным NLA

Код: Выделить всё

16-50-50-312| [        rdpsnd] [  138.522063] Link lost.
16-50-50-312| [          pfac] [  138.522180] Process pid 950 terminated, status 00000009.
16-50-51-202| [            gm] [  139.427367] Run '/sbin/resolver 0x1b236d0 dns [vm-term-cb01.technodom.kz]', log '', env '', pid ''.
16-50-51-233| [          pfac] [  139.427556] Run /sbin/resolver 0x1b236d0 dns [vm-term-cb01.technodom.kz].
16-50-51-233| [          pfac] [  139.427656] Ok, PID 961.
16-50-51-248| [          pfac] [  139.429872] Process pid 961 terminated, status 00000000.
16-50-51-248| [            gm] [  139.431674] vm-term-cb01.technodom.kz => 172.16.12.152.
16-50-51-248| [            gm] [  139.456231] Free ram before fork terminal client /sbin/rdpclient-SSE (session 2): 1892728 Kb.
16-50-51-248| [            gm] [  139.456277] Run '/sbin/rdpclient-SSE 2', log '/tmp/rdpclient.out', env '', pid ''.
16-50-51-264| [          pfac] [  139.456399] Run /sbin/rdpclient-SSE 2.
16-50-51-264| [          pfac] [  139.456421] Ok, PID 962.
16-50-51-280| [ rdpclient 962] [  139.457729] RDP Terminal Client, WTware 5.8.34, pipe 2, pid 962.
16-50-51-280| [ rdpclient 962] [  139.460406] Use /lib/ui32-SSE.so.
16-50-51-280| [ rdpclient 962] [  139.460841] Redirect sound.
16-50-51-280| [ rdpclient 962] [  139.461074] Make RDP session with 172.16.12.152, port 3389.
16-50-51-295| [ rdpclient 962] [  139.461103]  No username.
16-50-51-295| [ rdpclient 962] [  139.461123]  No password.
16-50-51-295| [ rdpclient 962] [  139.461143]  No PIN.
16-50-51-295| [ rdpclient 962] [  139.461166]  Domain: "technodom".
16-50-51-311| [ rdpclient 962] [  139.461186]  No shell.
16-50-51-311| [ rdpclient 962] [  139.461206]  No directory.
16-50-51-326| [ rdpclient 962] [  139.461226]  Window: 1600x900@24.
16-50-51-326| [ rdpclient 962] [  139.461248]  Second monitor: [1600:0..3199:899].
16-50-51-326| [ rdpclient 962] [  139.461270]  PFlags 0x00000184.
16-50-51-326| [ rdpclient 962] [  139.461292]  Keyboard 00000409:00000000.
16-50-51-342| [ rdpclient 962] [  139.461361]  My hostname "wtw001999D40420".
16-50-51-342| [ rdpclient 962] [  139.461387] TCP: connecting to 172.16.12.152:3389.
16-50-51-451| [ rdpclient 962] [  139.461880] TCP: connection with 172.16.12.152:3389 established.
16-50-51-451| [ rdpclient 962] [  139.461918] Turn keepalive on.
16-50-51-451| [ rdpclient 962] [  139.462122] Free ram after buffers allocation: 1892224 KB.
16-50-51-451| [ rdpclient 962] [  139.462148] Use Balance Info 52 bytes: 'tsv://MS Terminal Services Plugin.1.vm-terminal-2016'.
16-50-51-467| [ rdpclient 962] [  139.465132] Reconnect with TLS/SSL enabled.
16-50-51-467| [ rdpclient 962] [  139.465183] TCP: reconnecting to 172.16.12.152:3389.
16-50-51-482| [ rdpclient 962] [  139.465537] TCP: connection with 172.16.12.152:3389 established.
16-50-51-482| [ rdpclient 962] [  139.465569] Turn keepalive on.
16-50-51-482| [ rdpclient 962] [  139.465601] Use Balance Info 52 bytes: 'tsv://MS Terminal Services Plugin.1.vm-terminal-2016'.
16-50-51-498| [ rdpclient 962] [  139.467681] Server supports GFX Pipeline.
16-50-51-498| [ rdpclient 962] [  139.467715] TLS.
16-50-51-498| [ rdpclient 962] [  139.467738] SSL/TLS.
16-50-51-514| [ rdpclient 962] [  139.476915] Enable font smoothing and Desktop Composition.
16-50-51-514| [ rdpclient 962] [  139.508754] GFX codec.
16-50-51-654| [ rdpclient 962] [  139.843600] Run 2 tile threads.
16-51-28-892| [            gm] [  177.116961] Power key pressed.
С отключенным NLA пользователю выдает такое сообщение.
IMG_20190329_172400.jpg
IMG_20190329_172400.jpg (206.35 КБ) 859 просмотров

aka
Разработчик
Разработчик
Сообщения: 10058
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Windows Server 2016 и плановая смена пароля

Сообщение aka » Пт мар 29, 2019 2:33 pm

Логин и пароль оно не спрашивало, сразу ругается?
Отключается только NLA, одна позиция в политиках, дургих изменений нет?
Английского сервера рядом нет? Чтобы текст ошибки гуглить.

TechnoDom
Сообщения: 31
Зарегистрирован: Чт авг 21, 2014 11:23 am
Контактная информация:

Re: Windows Server 2016 и плановая смена пароля

Сообщение TechnoDom » Пт мар 29, 2019 2:39 pm

aka писал(а):
Пт мар 29, 2019 2:33 pm
Логин и пароль оно не спрашивало, сразу ругается?
Логин пароль ввел в виндовом интерфейсе, после ввода получил эту ошибку
aka писал(а):
Пт мар 29, 2019 2:33 pm
Отключается только NLA, одна позиция в политиках, дургих изменений нет?
Отключил NLA по этой методичке https://wtware.ru/win/nla.html, а так-же в настройках безопасности коллекции убрал галку требовать NLA как на картинке ниже
12Снимок.JPG
12Снимок.JPG (52.06 КБ) 857 просмотров
aka писал(а):
Пт мар 29, 2019 2:33 pm
Английского сервера рядом нет? Чтобы текст ошибки гуглить.
Настроенных как терминальная ферма нет под рукой.

aka
Разработчик
Разработчик
Сообщения: 10058
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Windows Server 2016 и плановая смена пароля

Сообщение aka » Пт мар 29, 2019 3:03 pm

TechnoDom писал(а):
Пт мар 29, 2019 2:39 pm
Логин пароль ввел в виндовом интерфейсе, после ввода получил эту ошибку
Попробуй указать логин и пароль в конфиге терминала. Проверь, что с включенным NLA логин и пароль из конфига работают, логинится ничего не спрашивая. И потом попробуй с тем же конфигом без NLA. Что будет?

TechnoDom
Сообщения: 31
Зарегистрирован: Чт авг 21, 2014 11:23 am
Контактная информация:

Re: Windows Server 2016 и плановая смена пароля

Сообщение TechnoDom » Пн апр 01, 2019 5:52 am

aka писал(а):
Пт мар 29, 2019 3:03 pm
Попробуй указать логин и пароль в конфиге терминала. Проверь, что с включенным NLA логин и пароль из конфига работают, логинится ничего не спрашивая. И потом попробуй с тем же конфигом без NLA. Что будет?
Проверил. С включенным NLA логинится, без NLA так-же говорит нет доступа подключаться к данному терминальному серверу пользователя надо добавить в группу удаленных рабочих столов.

aka
Разработчик
Разработчик
Сообщения: 10058
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Windows Server 2016 и плановая смена пароля

Сообщение aka » Пн апр 01, 2019 12:21 pm

Оба лога целиком покажи. Можно почтой на support@wtware.ru

TechnoDom
Сообщения: 31
Зарегистрирован: Чт авг 21, 2014 11:23 am
Контактная информация:

Re: Windows Server 2016 и плановая смена пароля

Сообщение TechnoDom » Пн апр 01, 2019 1:03 pm

aka писал(а):
Пн апр 01, 2019 12:21 pm
Оба лога целиком покажи. Можно почтой на support@wtware.ru
Отправил на почту.

aka
Разработчик
Разработчик
Сообщения: 10058
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Windows Server 2016 и плановая смена пароля

Сообщение aka » Пн апр 01, 2019 1:24 pm

Надо внимательно прочитать и выполнить так, как написано: https://wtware.ru/logs.html

TechnoDom
Сообщения: 31
Зарегистрирован: Чт авг 21, 2014 11:23 am
Контактная информация:

Re: Windows Server 2016 и плановая смена пароля

Сообщение TechnoDom » Пн апр 01, 2019 1:53 pm

Отправил повторно.

aka
Разработчик
Разработчик
Сообщения: 10058
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Windows Server 2016 и плановая смена пароля

Сообщение aka » Пн апр 01, 2019 6:24 pm

Не получилось. Надо ещё раз прочитать. Особенно сосредоточиться на пунктах 2 и 4: https://wtware.ru/logs.html

TechnoDom
Сообщения: 31
Зарегистрирован: Чт авг 21, 2014 11:23 am
Контактная информация:

Re: Windows Server 2016 и плановая смена пароля

Сообщение TechnoDom » Вт апр 02, 2019 11:22 am

Повторил.

aka
Разработчик
Разработчик
Сообщения: 10058
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Windows Server 2016 и плановая смена пароля

Сообщение aka » Вт апр 02, 2019 11:13 pm

Да, теперь со стороны втвари соединения происходят в точности одинаково. Сервер сопротивляется. Там, где переподключается к другому серверу, сервер не начинает слать графику, а присылает указание переподключаться к другому серверу. Там, где экран с руганью - сервер начинает слать картинки для рисования на экрна. Не знаю, что дальше делать. Надо гуглить...

Everest
Сообщения: 5
Зарегистрирован: Ср апр 24, 2019 2:18 pm

Re: Windows Server 2016 и плановая смена пароля

Сообщение Everest » Ср апр 24, 2019 2:36 pm

Добрый день!
Аналогичная проблема, как и у ТС.
Версия WTware 5.8.38 Терминальный сервер MS Windows Server 2016.
Есть какое-нибудь решение?

aka
Разработчик
Разработчик
Сообщения: 10058
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Windows Server 2016 и плановая смена пароля

Сообщение aka » Ср апр 24, 2019 3:34 pm

Отключить NLA на сервере: https://wtware.ru/win/nla.html
Или отключить плановую смену пароля, если NLA нужен для чего-то-ещё.

Everest
Сообщения: 5
Зарегистрирован: Ср апр 24, 2019 2:18 pm

Re: Windows Server 2016 и плановая смена пароля

Сообщение Everest » Ср апр 24, 2019 4:36 pm

Да, но оба эти решения снижают уровень безопасности. Поэтому и спросил нет ли другого решения без отключения NLA или отключения плановой смены паролей.

aka
Разработчик
Разработчик
Сообщения: 10058
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Windows Server 2016 и плановая смена пароля

Сообщение aka » Ср апр 24, 2019 8:17 pm

Не могу согласиться с тем, что отключение NLA снижает уровень безопасности.

NLA сделаны для виндовых клиентов, которые хранят пароли. Вот там да - хранить на клиенте криптованый пароль и потом отдавать его в NLA безопаснее, чем хранить открытый пароль и отдавать его RDP. Именно потому, что на клиенте хранится открываемый пароль.

Для втвари (надеюсь, никто, способный выговорить "уровень безопасности", не станет хранить пароли в втваревых конфигах, а заставляет пользователей вводить пароль при каждом подключении) отсутствие NLA безопаснее. Потому что пароль вводится прямо в виндовс и не добавляется втварь как лишнее знающее пароль звено.

Everest
Сообщения: 5
Зарегистрирован: Ср апр 24, 2019 2:18 pm

Re: Windows Server 2016 и плановая смена пароля

Сообщение Everest » Пт апр 26, 2019 10:35 am

aka писал(а):
Ср апр 24, 2019 8:17 pm
Для втвари (надеюсь, никто, способный выговорить "уровень безопасности", не станет хранить пароли в втваревых конфигах, а заставляет пользователей вводить пароль при каждом подключении) отсутствие NLA безопаснее. Потому что пароль вводится прямо в виндовс и не добавляется втварь как лишнее знающее пароль звено.
Естественно, что ни о каком хранении паролей в конфигурационных файлах втвари речи не идёт и пользователи вводят пароль при каждом подключении. Я, возможно, ошибаюсь, но разве пароль, который пользователь вводит на заставке втвари не в открытом виде передается в RDP для подключения к терминальному серверу?

aka
Разработчик
Разработчик
Сообщения: 10058
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Windows Server 2016 и плановая смена пароля

Сообщение aka » Пт апр 26, 2019 11:31 am

RDP начинается с согласования шифрований и обмена ключами. Пароль уходит после того, как сервер с терминалом договорятся про шифрование. Весь трафик к этому моменту уже шифруется, и пароль тоже. Если только специально не отламывать шифрование на сервере, то RDP по умолчанию шифрует вполне хорошо. Я б не взялся вскрывать пароль сниферя сетевой трафик RDP.

Когда пароль запрашивается в интерфейсе втвари - втварь совершенно точно знает, что это пароль, втварь в памяти его какое-то время хранит незашифрованным. Пользователям придется верить, что втварь хранит введенный пароль аккуратно, а не отправляет товарищу майору.

Когда NLA отключен и пароль запрашивается в интерфейсе виндвоса - втварь не знает, что сейчас запрашивается пароль, не выделяет, не хранит его.

Ответить