Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,405  Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 720 раз в 624 постах
|
Вижу одно подозрительное место. А на тесте вы тоже использовали Strong провайдер? |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 29.04.2020(UTC) Сообщений: 28  Откуда: Краснодар
|
Вот это?
00000405 9.29878235 [492] <capi10>0x1ec:0x6bc:_CryptAcquireContextA (Provider = Crypto-Pro GOST R 34.10-2012 Strong Cryptographic Service Provider, Container = SCARD\JACARTA_4E46000537593933\cc02\F51F, ProvType = 81, Flags = 0x00000040, LastError=0x0) (:1721)
Вроде да мы по гайду делали. У меня доступ утром будет к тестовой среде, посмотрим.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,405 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 720 раз в 624 постах
|
Вот это:
00001073 20.36038017 [492] <capi20>0x1ec:0x6bc:_CryptMsgGetParam!failed: LastError = 0x80091004 (:1761)
00001074 20.36063004 [492] <capi20>0x1ec:0x6bc:_CryptMsgUpdate returned (:1288)
Но я добавил вывод, что за параметр опрашивался - завтра посмотрим. Может и не в этом причина.
|
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,405 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 720 раз в 624 постах
|
Этот вызов ни при чём. Значит подпись формируется нормально, проблемы на контроллере. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 29.04.2020(UTC) Сообщений: 28 Откуда: Краснодар
|
У нас конечно групповые политики между боевым и тестовым доменом сильно отличаются. Мы отключали старые протоколы шифрования и т.д. Много по безопасности настроек кроме LSA.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,405 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 720 раз в 624 постах
|
Код:Log Name:Application
Source:Winlogon
EventID:4005
The Winlogon process has unexpectedly terminated
Вот эта запись появляется в момент логона на контроллере? |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 29.04.2020(UTC) Сообщений: 28 Откуда: Краснодар
|
Нет этой ошибки нет!
Что самое интересное Winlogon по смарт - карте заработал у меня на контроллере который 1 в другом сайте.Точно так же контроллер выделывался почти два дня. Ничего с ним не делал, кроме как включил логи KERBEROS в реестре, по сути добавил ключ LogLevel. А на нужном сайте не проходит логон по смарткарте.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 29.04.2020(UTC) Сообщений: 28 Откуда: Краснодар
|
Включил логи kerberos на клиенте.Попробовал зайти по смарт - карте стала появляться в журнале System: LogonSession yyyyy@xxxx.xxxx.ru ClientTime ServerTime 13:12:57.0000 5/22/2020 Z ErrorCode 0x10 ErrorMessage KDC_ERR_PADATA_TYPE_NOSUPP ExtendedError 0xc0000320 KLIN(0) ClientRealm ClientName ServerRealm xxxx.xxxx.RU ServerName krbtgt/xxxx.xxxx.RU TargetName krbtgt/xxxx.xxxx.RU@xxxx.xxxx.RU ErrorText File e Line d3f 3015A103020103A20E040C200300C00000000001000000
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,405 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 720 раз в 624 постах
|
|
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 29.04.2020(UTC) Сообщений: 28 Откуда: Краснодар
|
В общем выписали сертификаты на контроллеры домена гостовые для KDC поставили перезагрузили, Winlogon заработал. Теперь с сертификатом на токене подключается к RD -Gateway'ю. А на терминальную ферму через него просит все равно пароль, то есть через него на терминальной ферме логона по смарт-карте нет.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
