SYSVOL 에 액세스하려고 할 때 몇 가지 이상한 점을 발견했습니다. 및 NETLOGON Windows 10/Windows Server 2016에서 도메인의 폴더. UNC 경로 \\<domain.com>\SYSVOL로 도메인에 액세스하려고 할 때 또는 도메인 컨트롤러 IP 주소 \\192.168.100.10\Netlogon , '액세스가 거부되었습니다 ' 오류 및 폴더에 액세스하기 위해 사용자 자격 증명을 입력하라는 Windows 보안 프롬프트가 표시됩니다. 유효한 도메인 사용자 또는 도메인 관리자 자격 증명을 입력한 후에도 폴더가 여전히 열리지 않았습니다.
한편, 도메인 컨트롤러 호스트 또는 FQDN 이름을 지정하면 동일한 Sysvol/Netlogon 폴더가 정상적으로 열립니다(비밀번호 없이):\\be-dc1.domain.com\sysvol 또는 단순히 \\be-dc1\sysvol .
또한 그룹 정책 적용 문제는 문제가 있는 컴퓨터에서 발생할 수 있습니다. EventID 1058에서 오류를 찾을 수 있습니다. 이벤트 뷰어 로그에서:
The processing of Group Policy failed. Windows attempted to read the file \\domain.com\sysvol\domain.cpo\Policies\{GPO GUID}\gpt.ini from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved. 이는 도메인 컴퓨터가 코드(로그온 스크립트, 실행 파일)를 실행하고 신뢰할 수 없는 소스에서 정책 구성 파일을 가져오지 못하도록 보호하는 새로운 Windows 보안 설정과 관련이 있습니다. - UNC 강화 . Windows 10/Windows Server 2016 보안 설정에서는 강화된 보안으로 UNC 디렉터리(SYSVOL 및 NETLOGON 공유 폴더)에 액세스하는 데 사용되는 다음 보안 수준이 필요합니다.
- 상호 인증 서버와 클라이언트의. Kerberos는 인증에 사용됩니다. (NTLM은 지원되지 않습니다.) 이것이 도메인 컨트롤러의 IP 주소로 SYSVOL 및 NETLOGON 공유에 액세스할 수 없는 이유입니다. 기본적으로
RequireMutualAuthentication=1. - 무결성 SMB 서명 확인입니다. SMB 세션의 데이터가 전송 중에 수정되지 않았는지 확인할 수 있습니다. SMB 서명은 SMB 2.0 이상에서 지원됩니다(SMB v 1은 SMB 세션 서명을 지원하지 않음). 기본값은
RequireIntegrity=1입니다. . - 개인정보 보호 SMB 세션의 데이터 암호화와 관련이 있습니다. SMB v 3.0(Windows 8/Windows Server 2012 이상)부터 지원됩니다. 기본값은
RequirePrivacy=0입니다. . 네트워크에 레거시 Windows 버전(Windows 7/Windows Server 2008 R2 이하)이 있는 컴퓨터 또는 도메인 컨트롤러가 있는 경우 RequirePrivacy=1 옵션을 사용하지 마십시오. 그렇지 않으면 레거시 클라이언트가 도메인 컨트롤러의 네트워크 공유 폴더에 액세스할 수 없습니다.
원래 이러한 변경 사항은 보안 업데이트 MS15-011 및 MS15-014의 일부로 2015년 Windows 10에서 이루어졌습니다. 그 결과 다중 UNC 공급자(MUP)가 변경되었습니다. 이제 도메인 컨트롤러의 중요한 폴더에 액세스하기 위해 특수 규칙을 사용하는 알고리즘:\\*\SYSVOL 및 \\*\NETLOGON .
보호된 UNC 경로는 Windows 7 및 Windows 8.1에서 기본적으로 비활성화되어 있습니다.SYSVOL 및 NETLOGON에 액세스하려면 그룹 정책을 사용하여 Windows 10에서 UNC 강화 설정을 변경할 수 있습니다. 특수 보안 설정을 사용하여 강화된 UNC 경로의 다른 UNC 경로에 액세스할 수 있습니다. 정책.
- 로컬 그룹 정책 편집기(gpedit.msc)를 엽니다.
- 컴퓨터 구성 -> 관리 템플릿 -> 네트워크 -> 네트워크 공급자 정책 섹션으로 이동합니다.
- 강화된 UNC 경로 사용 수단;
- 표시를 클릭합니다. 버튼을 누르고 Netlogon 및 Sysvol에 대한 UNC 경로에 대한 항목을 만듭니다. 특정 폴더에 대한 UNC 강화를 완전히 비활성화하려면(권장하지 않음!) 다음 값을 지정합니다.
RequireMutualAuthentication=0,RequireIntegrity=0,RequirePrivacy=0
\\192.168.200.2(도메인 컨트롤러 IP 주소)\\domain.com\\DCName
또는 UNC 경로(모든 DC에서)와 독립적으로 Sysvol 및 Netlogon에 대한 액세스를 허용할 수 있습니다.
\\*\SYSVOL\\*\NETLOGON
필요한 모든 도메인(도메인 컨트롤러) 이름 또는 IP 주소를 지정합니다.
Microsoft는 이 설정을 사용하여 안전하게할 것을 권장합니다. 중요한 UNC 디렉토리에 액세스:
- \\*\NETLOGON
RequireMutualAuthentication=1, RequireIntegrity=1 - \\*\SYSVOL
RequireMutualAuthentication=1, RequireIntegrity=1
이제 gpupdate /force를 사용하여 컴퓨터의 정책을 업데이트하기만 하면 됩니다. 명령을 실행하고 Sysvol 및 Netlogon에 액세스할 수 있는지 확인하십시오.
중앙 집중식 도메인 GPO 또는 클라이언트에서 다음 명령을 사용하여 이러한 매개변수를 구성할 수 있습니다. (이러한 명령은 도메인 컨트롤러의 SYSVOL 및 NETLOGON 폴더에 액세스할 때 Kerberos 인증을 비활성화합니다. NTLM이 대신 사용되며 열 수 있습니다. DC의 보호된 폴더는 IP 주소로 지정합니다.)
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths /v "\\*\SYSVOL" /d "RequireMutualAuthentication=0" /t REG_SZ /f
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths /v "\\*\NETLOGON" /d "RequireMutualAuthentication=0" /t REG_SZ /f
- 도메인 컨트롤러(Windows Server 2008 R2/Windows Server 2012를 실행하는 DC)에 강화된 UNC 경로 매개변수가 없는 이전 버전의 관리 템플릿이 있습니다.
- Sysvol에 액세스할 수 없기 때문에 클라이언트가 도메인 정책 설정을 가져올 수 없으며 이러한 레지스트리 설정을 배포할 수 없습니다.