Мы сталкиваемся с ошибками проверки подлинности Kerberos и/или NTLM в пользовательских пакетах приложений, изначально разработанных для Windows 7 с использованием установщика пакетов WISE. В Windows 7 они работают нормально, но теперь они не работают в Windows 10. Они терпят неудачу как во время установки в Windows 10 с помощью инструмента Microsoft SCCM, так и при использовании проверки подлинности Kerberos для общего ресурса SMB в сети во время процесса установки. В сетевой трассировке мы видим, что клиентское приложение переключается на NTLM из Kerberos во время транзакции аутентификации. Мы не уверены, почему. У нас есть крупномасштабная среда Active Directory. Поскольку пакет WISE скомпилирован, мы не можем в него заглянуть. На успешных компьютерах с Windows 7 кажется, что компьютеру требуется доступ к общему ресурсу во время выполнения пакета, а вошедший в систему пользователь должен иметь доступ для чтения и выполнения к общему ресурсу SMB. Мы можем получить доступ к той же общей папке SMB, используя системную учетную запись Windows 7, но не при использовании системной учетной записи Windows 10. Очень странно! Является ли это проблемой кода внутри пакета? Это может быть важно: общий ресурс SMB использует псевдоним DNS, не уверен, что это имеет значение. Настоящее имя хозяина другое. При использовании настоящего имени хоста вместо псевдонима проблема с доступом кажется решенной.
Обнаружение сбоев проверки подлинности Kerberos и/или NTLM в пользовательских пакетах приложений, написанных с помощью установщика пакетов WISE
Ответы (1)
Сетевой ресурс случайно не будет размещен на сервере, отличном от Windows, не так ли? Если да, посмотрите, применима ли эта статья:
Не удается получить доступ к общему ресурсу файлового сервера SMB через псевдоним DNS CNAME
По сути, в модели безопасности Windows 10 произошли изменения. Windows 10 по умолчанию не будет запрашивать билет Kerberos для псевдонима DNS, но Windows 7 будет. Сервер SMB в основном говорит, что, поскольку вы не используете мое настоящее имя (как показано в сервисном билете), я не разрешаю подключение. Создайте новое имя участника-службы, используя имя, с которым подключаются успешные компьютеры с Windows 7, но в форме имени участника-службы. Например, если Windows 7 использует что-то вроде этого:
\имя_сервера.домен.com\имя_ресурса
.. затем найдите это имя объекта компьютера AD, представляющего хост, и добавьте вторичное имя участника-службы к этому объекту AD следующим образом:
HOST/имя_сервера.domain.com
rdns = false
отключит обратный поиск DNS для клиентов web.mit.edu/kerberos/krb5-1.15/doc/admin/princ_dns.html - person Samson Scharfrichter   schedule 07.06.2017