Не решено Проблема с адаптацией GPO Microsoft Security Baseline

ErmTv

Почетный гость
Уважаемые коллеги, Доброго времени суток.
Пытаюсь адаптировать политику (Windows 10 Version 1607 and Windows Server 2016 Security Baseline) из рекомендаций SCM на сервер MS 2016 + Exchange 2016.

Импортирую политику (GP Reports в приложении), обновляю на сервере, вроде все работает кроме внешних подключений приложений outlook.
Запускаю тест Outlook Connectivity из https://testconnectivity.microsoft.com/ и получаю ошибку:
Код:
Attempting to ping the MAPI Mail Store endpoint with identity: .
The attempt to ping the endpoint failed.
Collapse
Additional Details
The RPC_E_ACCESS_DENIED error (0x5) was thrown by the RPC Runtime process.
RPC Status: 5 AccessDenied
Timestamp: 11/24/2021 4:23:46 PM
Generating Component: 2 (RPCRuntime)
Status: 5
Detection Location: 1750 (ProcessFaultPacket10)
Flags: 0
Parameters:
5

Попытался отключить параметры из политики (перевести на дефолтные значения "Not defined"):
Network security: LAN Manager authentication levelSend NTLMv2 response only. Refuse LM & NTLM
Network security: Minimum session security for NTLM SSP based (including secure RPC) clientsEnabled
Require NTLMv2 session securityEnabled
Require 128-bit encryptionEnabled
Network security: Minimum session security for NTLM SSP based (including secure RPC) serversEnabled
Require NTLMv2 session securityEnabled
Require 128-bit encryptionEnabled

Эффекта это никакого не дало, гугл в решении вопроса помогать перестал. Подскажите пожалуйста направление движения к решению данного вопроса.
 

Вложения

  • SCM Windows Server 2016 - Member Server Baseline - Computer.zip
    28,5 КБ · Просмотры: 3
Последнее редактирование модератором:

Lexuz

Случайный прохожий
Именно с этим не сталкивался, но нашел тут же похожий трабл. Хз Может как то поможет в какую сторону думать, или еще подскажут что-то..;)
 

Ivan

Случайный прохожий
Именно с этим не сталкивался, но нашел тут же похожий трабл. Хз Может как то поможет в какую сторону думать, или еще подскажут что-то..;)
ТС же сказал что менял эти значения. Не то это. Может UAC :unsure: или параметр
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy
Попытался отключить параметры из политики (перевести на дефолтные значения "Not defined"):
Network security: LAN Manager authentication levelSend NTLMv2 response only. Refuse LM & NTLM
Network security: Minimum session security for NTLM SSP based (including secure RPC) clientsEnabled
Require NTLMv2 session securityEnabled
Require 128-bit encryptionEnabled
Network security: Minimum session security for NTLM SSP based (including secure RPC) serversEnabled
Require NTLMv2 session securityEnabled
Require 128-bit encryptionEnabled
 

ErmTv

Почетный гость
Порт закрыт может 135 ?
Добрый день.
Так тест "Outlook Connectivity" сначала проверяет доступность RPC и тест проходит успешно. Судя по ошибке "RPC_E_ACCESS_DENIED" проблема возникает при попытке аутентификации. Вот справка которую предлагает MS для решения проблемы.
Вечером попробую вырубить FW и проверить без него т.к. при отключении политики работает нормально.
 

ErmTv

Почетный гость
Вот справка которую предлагает MS для решения проблемы.
Analyze the LAN Manager Authentication Level (LMCompatibilityLevel) on the Outlook Clients, the Exchange Servers, and the Global Catalog Servers. Make sure that these settings are configured in a compatible combination.
Как уже писал выше переводил в значение "Not defined".

Make sure that replication is working properly between domain controllers. This especially important if you have multiple domains in your forest. Check the directory service logs on the domain controllers and use the DCDIAG tool to check your domain controllers for errors.
Конечно проверил, но в таком случае были бы и другие проблемы с аутентификацией пользователей вне Outlook.

Make sure appropriate user rights are granted for the Exchange mailbox or back-end server in question. For example, "Access this computer from the network" is a required right to be able to log in correctly.
А вот тут не совсем понял формулировку. Это речь случаем не про параметр GPO "Access this computer from the network"?\
Сейчас установлено:
Access this computer from the networkNT AUTHORITY\Authenticated Users, BUILTIN\Administrators
 
Верх Низ