[Lab 筆記]
Lab: Win XP Join Windows Server 2019 AD Domain Fail.
[Lab 環境]
DC OS: Windows Server 2019 Forest / Domain Function Level: windows server 2008
Client OS: Windows XP SP3 ( 無額外 Windows Update )
預設狀況下,Win XP 無法加入 Windows Server 2019 AD 網域。
主要原因為 smb v1 支援 與 legacy Kerberos encryption
故 Windows Server 2019 需調整 2 項設定
1. Windows Server 2019 安裝 SMBv1 ( Client and Server 都有安裝 )
可透過 Powrshell Get-SmbServerConfiguration 檢查 EnableSMB1Protocol : True
( 如果未安裝 SMBv1 Join AD Domain 錯誤訊息: "指定的網路名稱無法使用"
2. Windows Server 2019 透過 Default Domain Controller 設定 允許
legacy Kerberos encryption types ,勾選 XP 支援類型。
GPO 設定路徑:
Windows Settings - Security Settings - Local Policies - Security Options -
Network security: Configure encryption types allowed for Kerberos
( 注意,並非全部勾選,AES128..., 256... 不支援 XP )
參考: https://docs.microsoft.com/zh-tw/windows/security/threat-protection/security-policy-settings/network-security-configure-encryption-types-allowed-for-kerberos
額外參考連結
大部分 Google 的資料,都是在討論 smb v1 與 RC4 encryption
https://docs.microsoft.com/zh-tw/windows/security/threat-protection/security-policy-settings/network-security-configure-encryption-types-allowed-for-kerberos
https://social.technet.microsoft.com/Forums/windowsserver/en-US/29bf5c6c-f854-4308-b9b3-7c688ddfb923/windows-xp-got-error-joining-domain-on-windows-server-2019?forum=ws2019
延伸閱讀
1. GPO 套用順序
https://docs.microsoft.com/en-us/previous-versions/windows/desktop/policy/group-policy-hierarchy
套用結果可透過 gsop.msc 檢查
2. 發現 windows 10 無法存取 DC 上的 SYSVOL 與 NETLOGON 分享
http://woshub.com/cant-access-domain-sysvol-netlogon-folders/