Подготовка домена
Предварительно перед установкой узлов ITDR выполните следующее в каждом из доменов, планируемых к интеграции:
Создайте сервисную учетную запись, которая будет использоваться ITDR для поиска субъектов доступа в каталоге Active Directory. Учетная запись должна быть членом группы Domain Users.
Настройте обратную зону DNS. Это позволит ITDR определять имя узла, с которого выполнялся запрос доступа.
Для контроллеров домена, на которых установлена роль DNS-сервера, необходимо переключить DNS-сервер в режим прослушивания только выбранных IP-адресов.
Настройте групповые политики.
Переключение DNS-сервера в режим прослушивания только выбранных IP-адресов
По умолчанию DNS-сервер отвечает на запросы, исходящие из всех сетевых интерфейсов на сервере. ITDR в процессе работы создает временные интерфейсы, работа DNS-сервера на которых может влиять на работу инфраструктуры, поэтому настоятельно рекомендуется отключать DNS-сервер для этих интерфейсов. Эту настройку необходимо выполнить на всех контроллерах домена с установленной ролью DNS-сервер, защищаемых ITDR.
Откройте оснастку Диспетчер DNS.
В боковой панели выберите пункт, соответствующий контроллеру домена. В контекстном меню этого пункта выберите Свойства. Появится диалоговое окно Свойства.
Откройте вкладку Интерфейсы.
Выберите пункт только по указанным IP-адресам. Выберите все IP-адреса из списка.
Нажмите Применить.
Настройка групповых политик
Для корректной работы ITDR необходимо включить следующие групповые политики:
Always wait for the network at computer startup and logon — определяет, ожидают ли клиентские машины завершения полной инициализации с контроллером домена при запуске и входе пользователя в систему.
KdcWaitTime — определяет, в течение какого периода клиентская машина ожидает ответ от контроллера домена.
Если эти политики включены, субъект доступа не может выполнить аутентификацию из кешированного запроса. Вместо этого клиентская машина будет ожидать восстановления связи с контроллером домена, что соответствует корректной работе push-уведомлений.
Чтобы включить политики:
- От имени доменного администратора запустите редактор групповых политик.
- Создайте новый Group Policy Object и привяжите его к домену.
При создании Group Policy Object убедитесь, что нет пересечения с одинаковыми политиками в других объектах. Если пересечение есть, задайте созданному объекту наивысший приоритет в разделе Linked Group Policy Objects.
- В режиме редактирования политиками настройте следующие политики:
Always wait for the network at computer startup and logon
- Перейдите к параметру Computer Configuration→Policies→Administrative Templates→System→Logon.
- Выберите политику Always wait for the network at computer startup and logon.
- Выберите опцию Enabled и примените изменения.
KdcWaitTime
- Перейдите к параметру Computer Configuration→Preferences→Windows Settings→Registry.
- Создайте раздел
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters. - В этом разделе создайте новый параметр типа REG_DWORD с именем
KdcWaitTime, в значении параметра укажите 70.
Значение KdcWaitTime должно быть больше таймаута, заданного в конфигурации authorizationchannels/configuration/main.cfg, иначе push-уведомления будут отрабатывать некорректно в некоторых случаях.
Настроенные групповые политики относятся к рабочим станциям и будут применены по расписанию, заданному в конфигурации домена. Для того чтобы протестировать работу Indeed ITDR, не дожидаясь применения политик по расписанию, выполните на используемой рабочей станции команду gpupdate /force.
Параметр KdcWaitTime определяет время, в течение которого клиент Kerberos ожидает ответа от контроллера домена. Для корректной работы Indeed ITDR необходимо, чтобы время ожидания запроса Kerberos превышало максимальное время ожидания ответа на push-уведомление. В противном случае возможны ситуации, когда вход будет произведен при проигнорированном push-уведомлении, например, для входа будут использованы кешированные данные учетной записи пользователя. Рекомендуемое значение — 70.