Приобрели сервер Compal SR120-2 с материнкой SP-A121P SMB-C206, это я так понял какой-то китаец. Гудит он как самолёт, 8 куллеров без всякой нагрузки (только гипервизор) каждый выдаёт 10000-14000 оборотов.
Задался вопросом в чём дело, есть ли возможность вручную уменьшить обороты, например с помощью ipmitool? Может кто сталкивался с таким или прямо сейчас админит такой сервер?
Всем привет! На связи Алексей Баранович, сегодня я хочу вам рассказать о Cilium.
В современных Kubernetes-платформах стремление к упрощению архитектуры и снижению числа зависимостей становится всё более актуальным. Особенно это заметно при построении MVP-решений или управляемых платформ, где каждый дополнительный компонент — это не только рост сложности, но и увеличение поверхности для потенциальных сбоев и уязвимостей. В этом контексте Cilium выделяется как один из немногих проектов, способных заменить сразу несколько традиционных инструментов: CNI-плагин, Ingress-контроллер, Service Mesh и даже внешний LoadBalancer. Давайте разберёмся, как это работает и почему Cilium может стать единственным «сетевым» компонентом в вашем кластере.
Изначально Cilium позиционировался как высокопроизводительный CNI-плагин, использующий eBPF (extended Berkeley Packet Filter) вместо iptables или IPVS. Это даёт не только значительный прирост производительности, но и гибкость на уровне ядра Linux: политики сети, observability, балансировка трафика — всё это реализуется без перезаписи цепочек правил или установки дополнительных прокси.
Но Cilium быстро вырос за рамки CNI. Сегодня он предлагает полноценную платформу для сетевой и сервисной безопасности, объединяя в себе функциональность, которая раньше требовала развёртывания десятков отдельных компонентов.
Самый распространённый способ установки Cilium — через Helm. Сначала добавьте официальный репозиторий:
helm repo add cilium https://helm.cilium.io/
helm repo update
Затем установите с базовыми настройками (для большинства сред подойдёт):
helm install cilium cilium/cilium \
--namespace kube-system \
--set ipam.mode=kubernetes
Если вы хотите использовать собственный Pod CIDR (например, 10.224.0.0/13), как часто делают в on-prem:
helm install cilium cilium/cilium \
--namespace kube-system \
--set ipam.mode=cluster-pool \
--set ipam.operator.clusterPoolIPv4PodCIDRList="{10.224.0.0/13}" \
--set ipam.operator.clusterPoolIPv4MaskSize=22 \
--set ipv4NativeRoutingCIDR=10.224.0.0/13 \
--set routingMode=native \
--set autoDirectNodeRoutes=true
Эти параметры включают режим cluster-pool для IPAM и native routing через eBPF, что даёт максимальную производительность без kube-proxy.
Одна из самых болезненных тем в on-prem Kubernetes — отсутствие встроенного решения для внешнего LoadBalancer. Обычно приходится ставить MetalLB, использовать внешние балансировщики или обходиться NodePort.
Cilium решает эту проблему с помощью BGP-интеграции и DSR (Direct Server Return). Начиная с версии 1.13, Cilium поддерживает собственный L2 и BGP-режимы для сервисов типа LoadBalancer, что позволяет:
Назначать внешние IP-адреса сервисам без MetalLB.
Работать в bare-metal и виртуальных средах (включая VMware).
Использовать DSR для минимизации latency и снижения нагрузки на worker-ноды.
Чтобы включить встроенный LoadBalancer через Helm:
helm install cilium cilium/cilium \
--namespace kube-system \
--set loadBalancer.mode=dsr \
--set loadBalancer.acceleration=native \
--set loadBalancer.serviceTopology=true
Если вы используете BGP, добавьте:
--set loadBalancer.mode=bgp \
--set loadBalancer.bgp.announce=pool
И определите IP-пул в ConfigMap или через Helm-параметры, например:
--set loadBalancer.ipam.kubernetes.serviceIPBlocks="{192.168.10.0/24}"
Теперь любой Service с типом LoadBalancer автоматически получит IP из этого пула.
Традиционные Ingress-контроллеры (Nginx, Traefik, HAProxy) требуют отдельного развёртывания, настройки TLS, rate limiting, WAF и т.д. Cilium предлагает нативную поддержку Kubernetes Gateway API — современного стандарта управления трафиком, который заменяет устаревший Ingress API.
Чтобы включить Gateway API в Cilium, достаточно установить:
helm install cilium cilium/cilium \
--namespace kube-system \
--set gatewayAPI.enabled=true
После этого вы можете создавать ресурсы Gateway, HTTPRoute и другие. Пример Gateway:
apiVersion: gateway.networking.k8s.io/v1
kind: Gateway
metadata:
name: public-gateway
namespace: default
spec:
gatewayClassName: cilium
listeners:
- name: http
port: 80
protocol: HTTP
И HTTPRoute:
apiVersion: gateway.networking.k8s.io/v1
kind: HTTPRoute
metadata:
name: my-app-route
namespace: default
spec:
parentRefs:
- name: public-gateway
rules:
- matches:
- path:
type: PathPrefix
value: /api
backendRefs:
- name: my-app
port: 8080
Всё это работает без sidecar-прокси, благодаря eBPF и L7-парсингу на уровне ядра.
Istio — мощный, но тяжёлый Service Mesh. Он требует внедрения sidecar-прокси (Envoy) в каждый под, что увеличивает потребление ресурсов и усложняет отладку.
Cilium предлагает альтернативу: Cilium Service Mesh. Он реализует ключевые функции Service Mesh:
mTLS между сервисами (на основе SPIFFE/SPIRE или собственного PKI).
L7-наблюдаемость (HTTP, gRPC, Kafka).
Трассировка (через OpenTelemetry).
Retry, timeout, circuit breaking — через Envoy только при необходимости.
Чтобы включить базовые функции Service Mesh через Helm:
helm install cilium cilium/cilium \
--namespace kube-system \
--set l7Proxy=true \
--set hubble.enabled=true \
--set hubble.relay.enabled=true \
--set hubble.ui.enabled=true \
--set securityContext.capabilities.ciliumAgent="{CHOWN,KILL,NET_ADMIN,NET_RAW,IPC_LOCK,SYS_ADMIN,SYS_RESOURCE,DAC_OVERRIDE,FOWNER,SETGID,SETUID}"
Для mTLS:
--set encryption.enabled=true \
--set encryption.type=wireguard
Или для TLS на уровне сервисов:
--set serviceMesh.enabled=true
Если нужны продвинутые L7-политики с Envoy:
--set envoy.enabled=true
При этом sidecar не обязателен: базовые функции (шифрование, политики, метрики) работают через eBPF. Envoy подключается лишь тогда, когда нужны продвинутые L7-фичи. Это даёт гибкость: вы получаете Service Mesh без накладных расходов там, где он не нужен.
Если у вас несколько Kubernetes-кластеров (например, dev/stage/prod или multi-region), традиционно для их объединения требуются сложные решения: submariner, istio multi-cluster, custom overlay-сети.
Cilium предлагает Cluster Mesh — встроенную возможность объединять кластеры в единую логическую сеть:
Сервисы из одного кластера доступны в другом по DNS-имени.
Единые сетевые политики применяются кросс-кластерно.
Поддержка identity-based security (не привязка к IP!).
Для включения Cluster Mesh нужно:
Установить Cilium в каждом кластере с уникальным cluster.id и cluster.name.
Настроить общий etcd или использовать clustermesh-apiserver.
Пример установки с поддержкой Cluster Mesh:
helm install cilium cilium/cilium \
--namespace kube-system \
--set cluster.name=cluster-a \
--set cluster.id=1 \
--set clustermesh.enabled=true \
--set clustermesh.useAPIServer=true
Затем выполнить настройку связи между кластерами с помощью cilium-cli:
cilium clustermesh enable --context cluster-a
cilium clustermesh enable --context cluster-b
cilium clustermesh connect cluster-a cluster-b
После этого сервисы автоматически станут доступны через DNS вида <service>.<namespace>.svc.clusterset.local.
Cilium — это не просто CNI. Это единая платформа для всего сетевого стека Kubernetes, которая позволяет отказаться от Nginx Ingress, MetalLB, Istio и даже внешних балансировщиков в большинстве сценариев. Для инженеров, строящих управляемые, безопасные и минималистичные Kubernetes-платформы, Cilium становится не просто выбором, а стратегическим решением.
Если вы стремитесь к «меньше компонентов — больше контроля», Cilium стоит рассмотреть уже сегодня.
Привет, друзья! Меня зовут Алексей Баранович, и сегодня я хочу рассказать о системе, которая кардинально изменила мой подход к развёртыванию и управлению Kubernetes — Talos Linux. Это не просто «ещё одна лёгкая ОС». Talos — это операционная система, спроектированная исключительно для Kubernetes, с философией иммутабельности, безопасности и полной автоматизации. Давайте разберёмся, почему он действительно крут — и что он умеет «из коробки».
Talos Linux — это open-source операционная система, разработанная компанией Sidero Labs, которая полностью отказывается от традиционных концепций Linux-дистрибутивов. В Talos нет:
пакетного менеджера (apt, yum, dnf);
shell-доступа (даже для root);
SSH-сервера;
возможности редактировать файлы вручную после загрузки.
Всё управление происходит через единый gRPC API, защищённый mTLS, и утилиту командной строки talosctl.
Корневая файловая система Talos монтируется только для чтения. Это означает:
Невозможно случайно или злонамеренно изменить системные файлы.
Все обновления — атомарные: система загружается либо полностью новой версией, либо откатывается.
Минимальная поверхность атаки: в образе нет интерпретаторов (Python, Bash), ненужных библиотек или демонов.
Даже диагностика не требует shell: для просмотра логов, состояния сервисов или ядра используется утилита osctl, работающая поверх API.
Вся конфигурация Talos задаётся в одном файле — machine.yaml. Он описывает:
тип ноды (control plane или worker);
сетевые настройки;
параметры времени и сертификатов;
статические поды (если нужны);
настройки kubelet и kube-proxy.
Пример минимальной конфигурации control plane:
version: v1alpha1
machine:
type: controlplane
token: supersecret
ca:
crt: LS0t...
key: LS0t...
cluster:
id: my-cluster
controlPlane:
endpoint: https://192.168.1.10:6443
Этот файл передаётся ноде при загрузке (через cloud-init, ISO, PXE и т.д.) и не может быть изменён вручную — только через обновление через talosctl apply.
Важный момент: Talos не включает CNI по умолчанию. Однако он нативно поддерживает Flannel как встроенный CNI-плагин. Это означает, что при указании:
cluster:
network:
cni:
name: flannel
Flannel будет автоматически развёрнут как часть bootstrap-процесса — без необходимости применять манифесты вручную.
Если вы хотите использовать другой CNI (Calico, Cilium, Weave и т.д.), его нужно устанавливать вручную после инициализации кластера, например, через kubectl apply или Helm. Talos не навязывает выбор — он даёт вам чистую, предсказуемую основу.
Talos управляет не только запуском Kubernetes, но и всем его жизненным циклом:
Инициализация кластера: talosctl bootstrap — инициирует etcd и control plane.
Обновление ОС и Kubernetes: через talosctl upgrade — с возможностью отката.
Резервное копирование etcd: talosctl etcd backup — создаёт снапшоты etcd.
Восстановление из бэкапа: talosctl etcd restore.
Безопасное удаление нод: talosctl reset — полностью очищает ноду.
Всё это работает без shell, без SSH, без риска человеческой ошибки.
Хотите попробовать Talos? За пару минут можно развернуть кластер на своём ноутбуке:
talosctl cluster create --nodes 3 --controlplanes 1
Это запустит виртуальные машины через QEMU или Docker (в зависимости от ОС), настроит сеть и выдаст готовый kubeconfig.
Предсказуемость: все ноды идентичны, конфигурация декларативна.
Безопасность: нет shell, нет пакетов, только необходимый минимум.
Автоматизация: всё через API, идеально для GitOps и CI/CD.
Сертификация: Talos прошёл официальные тесты CNCF Kubernetes Conformance.
CLI-инструменты: talosctl
Talos Linux — это не просто инструмент, а новая парадигма управления инфраструктурой. Он убирает всё лишнее, оставляя только то, что нужно для надёжного и безопасного запуска Kubernetes. Если вы устали от «снежинок-серверов», ручных правок и нестабильных обновлений — пришло время попробовать Talos.
Удачи в автоматизации, и пусть ваши кластеры будут иммутабельными!
Наткнулся на пост РКН уху ел. В край, где топовый автор https://pikabu.ru/@astrobeglec, вылил очередной ушат помоев на Роскомнадзор и, возможно, в этот раз - незаслуженно. Хотя настрочил от души, я столько не осилю.
Тут оказывается вот какое дело-то сурьёзное:
Новый ботнет AISURU стал причиной крупнейшей зафиксированной DDoS-атаки, мощность которой достигла 11,5 Тбит/с. Масштаб атаки побил весенний рекорд в 5,8 Тбит/с и показал, насколько быстро растёт уровень угроз, связанных с захватом сетевых устройств. По оценкам исследователей QiAnXin XLab, в сети ботнета оказались около 300 тысяч маршрутизаторов по всему миру.
Товарищи Snow, Tom и Forky работают не покладая рук
По данным XLab, атаки проводятся ежедневно и затрагивают организации в Китае, США, Германии, Великобритании и Гонконге. Жертвы выбираются хаотично — нет признаков, что злоумышленники сосредотачиваются на какой-то одной отрасли. Весной AISURU уже запускал волну в 5,8 Тбит/с, а осенью мощность увеличилась почти вдвое.
Подробнее: https://www.securitylab.ru/news/563535.php
Я об этом узнал от своего Zabbix, а потом и от хостера в Германии:
Мы продолжим внимательно следить за производительностью сети... ля-ля-тополя... для дальнейшего повышения устойчивости к крупномасштабным DDoS-событиям, подобным тому, которое вызвано ботнетом Aisuru.
Конкретно у меня отвалился IPv6, 4-ка работает, но я её не нагружаю. Так вот я к чему, не всё то Роскомнадзор, что чудит. Не поддавайтесь панике, комрады! Хотя новости и не радуют.
Veeam Backup чудит.
Есть задачи по резервированию двух виртуалок в DFS, практически аналогичных. Настроено три задачи - одна на копирование двух виртуалок и две по копированию одной.
И вот при создании бэкапа одной машины из двух выдаётся такое сообщение:
"Production drive C:\ is getting low on free space (84.6 GB left), and may run out of free disk space completely due to open snapshots.
Processing finished with warnings at 10/23/2025 12:04:18 AM"
И вот тут вопросы:
- почему предупреждение пишется только в отношении одной машины?
- судя по слову "production", Veeam орёт про диск собственной виртуалки. При этом реально там свободно было 60 Гб, то есть ощутимо меньше. На копируемых виртуалках, наоборот, свободно больше 100 Гб, на беспроблемной даже на гиг меньше.
Вимовской увеличил диск тоже до 100 свободных гигов - бестолку, всё равно пишет про 85 гигов.
Как отбиться от этого предупреждения?
Кацап скоро прихлопнут как и телегу походу. А там рабочие группы (цпсспо, хакеры, инагенты и прочие ангины). Очень удобно оповещать всех, скидывать доки, да вы и так знаете..
Что можно накидать какой-то клиент сервер, закинуть себе на сервак (белый Ip) сделать проброс портов, а пользователям приложение поставить. Такой вот личный мессанджер. Может есть готовые решения. Просто ждать пока ненатуралы отключат - не очень хорошая идея. Спасибо!
14 октября 2025 года закончилась поддержка Exchange Server 2019 On-prem (то есть, наземной и с постоянными ключами).
Последнее обновление, переходное к Exchange Server SE (наземный, но по подписке, то есть будьте добры обновлять ключи) - Exchange Server 2019 CU15 Oct25SU, 15.2.2562.29.
Фикс CU15, как обычно, был с проблемами – тут и штатно описанное переписывание веб конфигов, и ранее известное поведение
All Exchange services were disabled after patch, had to re-enable with script. Not the first time tho.
ТЕПЕРЬ ТОЧНО ВСЕ.
На что переходить ? Не знаю.
Outlook online работает крайне нестабильно, то одно положат, то другое.
Для малых организаций, человек на 10, есть iRedMail.
Главная и основная проблема «аналогов», это не электронная почта, а система работы с календарем, общими ящиками и делегированием и того, и другого.
Для лиги лени: что-то занудное, и с ошибками
Security Support Provider Interface (SSPI), Service Principal Name (SPN), и вот это все (нет).
Шагая от звезды к звезде, Лек подошел к Ответчику, положил его на ладонь и поднес к глазам.
- Значит, ты Ответчик? - проговорил он.
- Да, - отозвался Ответчик.
- Тогда скажи мне, - попросил Лек, устраиваясь поудобнее в промежутке между звездами. - Скажи мне, что я есть?
- Частность, - сказал Ответчик. - Проявление.
- Брось, - обиженно проворчал Лек. - Мог бы ответить и получше... Теперь слушай. Задача мне подобных - собирать багрянец и сгребать его в кучу. Каково истинное значение этого?
- Вопрос бессмысленный, - сообщил Ответчик. Он знал, что такое багрянец и для чего предназначена куча. Но объяснение таилось в большом объяснении. Лек не сумел правильно поставить вопрос.Lek came to Answerer, striding swiftly from star to star. He lifted Answerer in his hand and looked at him.
“So you are Answerer,” he said.
“Yes,” Answerer said.
“Then tell me,” Lek said, settling himself comfortably in a gap between the stars, “Tell me what I am.”
“A partiality,” Answerer said. “An indication.”
“Come now,” Lek muttered, his pride hurt. “You can do better than that. Now then. The purpose of my kind is to gather purple, and to build a mound of it. Can you tell me the real meaning of this?”
“Your question is without meaning,” Answerer said. He knew what purple actually was, and what the mound was for. But the explanation was concealed in a greater explanation. Without this, Lek’s question was inexplicable, and Lek had failed to ask the real question.
В первой части
В первой части я остановился на временах Windows NT Directory Services (NTDS), от которого остались протоколы семейства LanManager - NTLMv1 / NTLMv2, и начале работы NTDS с Lightweight Directory Access Protocol (LDAP), вместе с NetWare Directory Services
Configure NetWare
This configuration lets the Policy Server log into the Novell eDirectory, view the contents of the directory, and retrieve directory attributes. Some advanced features can possibly require you to configure the Novell eDirectory to allow the Policy Server write-accessIf LDAP is part of your Novell eDirectory installation, name a server in Novell eDirectory "LDAP Server",and an LDAP group named "LDAP Group." LDAP Server is a member of the LDAP Group.
Configure a Novell eDirectory LDAP Directory Connection
Как очевидно и общеизвестно, с протоколом (или, через протокол) LDAP в конце 90х работали все сервисы каталогов - Novell eDirectory, Banyan VINES, NTDS. Но, в феврале 2000 выходит Windows 2000, которая, за счет сочетания удобства (для крупных организаций. Для небольших все эти леса, деревья и кросс-доменное доверие не очень нужно), рекламы, и – для Banyan OS 0 - работы с драйверами, начала захватывать корпоративный рынок. В октябре 1999 Banyan Worldwide стала ePresence, и в 2003 ее история закончилась.
Corvus Systems, LANtastic – про этих сейчас никто и не вспомнит.
В 1989 Novell NetWare занимала порядка 50% рынка сетевых операционных систем (NOS). В 1993 году доля Novell NetWare выросла до 60-70% .
At its high point around 1993, NetWare had a roughly two-thirds share of the market for network operating systems;[35][34] one analysis put the figure at 63 percent.[46] There were over half a million NetWare-based networks installed worldwide[57] and some 55 million NetWare users on those networks.
Но, в 1993-1994 годах Novell поставила своих покупателей перед сложным выбором: или вы берете и переезжает (сложно и задорого) на NetWare 4, или как хотите. В таких условиях часть покупателей выбрала Windows NT.
К марту 1996 года стоимость акций Novell упала с 40$ до, сначала 33, затем до 12 $. Доля рынка упала до 26 %, в то же время доля Windows NT выросла до 36%.
К 2000 от Novell стали уходить остатки крупных заказчиков, и на этом основная часть истории «той» Novell и «той» NetWare закончилась, и началась и история с Suse.
Вспоминаем что такое AAA: Authentication, authorization, and accounting
Authentication: выяснение и подтверждение, кто ты такой,
Authorization: выдача тебе прав, или роли с правами,
Accounting: учет того, что ты делаешь
Одна из проблем «ранних» компьютерных сетей, да, впрочем, и современных (с оговорками), это использование «общей среды передачи данных» - CSMA/CD (Carrier-Sense Multiple Access with Collision Detection). Соответственно, все компьютеры сети «тогда» видели все сетевые пакеты, и любой обмен данными в открытом виде мог быть и бывал перехвачен.
В том числе поэтому в Windows был использован сначала протокол NT (New Technology) LAN Manager (NTLM), а затем и протокол Kerberos.
Kerberos – это не разработка Microsoft, это разработка Massachusetts Institute of Technology из 1989 года. Но, Microsoft его использует, как и все остальные, так что говорить «вот в Microsoft LDAP \ Kerberos \ DES \ AES» - для меня звучит как «Samsung и Toshiba работают от сети 220 вольт, а не от сети 128 вольт».
Дальше начинается идеологическая и иерархическая путаница, кто что делает, особенно если мы начинаем говорить про работу Microsoft Active Directory.
В теории, на этапе Authentication ты должен по протоколу Kerberos (или какому-то другому) показать локальному сервису свой пароль, локальный сервис преобразует пароль в ключ, получает сеансовый тикет и дальше случается магия. Практически ситуация чуть сложнее и описана в статье MS Ticket-Granting Tickets.
После того, как у тебя появился мультипаспорт TGT, ты можешь в составе Kerberos пакета получить свой список SID от групп, ограниченный только Kerberos SSPI context token buffer size, и уже показывать TGT там, где тебе нужен доступ.
Надо отдельно заметить, что не Kerberos единым живет AD – в составе Windows Server есть отдельный сервис Active Directory Federation Services (AD FS) , работающий с OpenID Connect/OAuth.
MS LDAP, аутентификация и авторизация.
Документация MS написано настолько криво, что может создаться впечатление, что внутри самого MS LDAP есть зачатки аутентификации, оно же simple bind. При этом вопрос «где тут Kerberos, а где LDAP» раскрыт еще хуже.
Windows Server Active Directory (AD) uses the Lightweight Directory Access Protocol (LDAP) to communicate between the directory service, clients, and applications. LDAP is an open, industry-standard protocol used for accessing directory services on Internet Protocol (IP) networks.
Microsoft Delays LDAP Signing and Channel Binding Changes in Active DirectoryYou can significantly improve the security of a directory server by configuring the server to reject Simple Authentication and Security Layer (SASL) LDAP binds that do not request signing (integrity verification), or to reject LDAP simple binds that are performed on a clear text (non-SSL/TLS-encrypted) connection. SASL binds may include protocols such as Negotiate, Kerberos, NTLM, and Digest.
How to enable LDAP signing in Windows Server
Как ни странно, и может даже и неправильно, вопрос «как вообще это работает» раскрыт в инструкции к Ansible - microsoft.ad.ldap inventory – Inventory plugin for Active Directory , и частично в документации к LDAP3 – раздел SSL and TLS, из которой можно перейти к статье MS SASL: The Simple Authentication and Security Layer - 3.1.1.3.4.5 LDAP SASL Mechanisms
После этого остается только прочитать про keytab – ktpass, и остальные ссылки ниже
MS LDAP поддерживает следующие методы аутентификации (authentication):
Anonymous Bind
LDAPS/StartTLS – если это было настроено.
simple – логин и пароль шлются чистым текстом
Kerberos – авторизация идет через Kerberos
ntlm – если вы почему-то его до сих пор не выключили для локальных машин, потому что выключить его вы до сих пор не можете. Как не можете обойти и ограничения AD16 - NetBIOS name, максимальная длина 15 символов.
Ссылки ниже
Kerberos KDC с использованием OpenLDAP в качестве бэкэнда и аутентификацией SASL GSSAPI
Kerberos vs. LDAP: What’s the Difference?
Kerberos vs. LDAP: Choosing the Right Enterprise Protocol
Difference between LDAP and Kerberos
LDAP Authentication From the Command Line in Linux
Linux LDAP vs. Kerberos Authentication with Microsoft ActiveDirectory
Difference between NTLM, Kerberos & LDAP authentication
Debian LDAP + Kerberos
The LDAP Bind Operation
Simple Authentication (in LDAP) is an LDAP Authentication Method
Литература
LDAP and Kerberos Server may not respond to UDP requests or reset TCP sessions immediately after creation
This article provides a solution to an issue where Transmission Control Protocol (TCP) sessions created to the server ports 88, 464, 389 and 3268 are reset. Sessions using Secure Sockets Layer (SSL) or Transport Layer Security (TLS) on ports 636 and 3269 are also affected.
You may also notice requests on User Datagram Protocol (UDP) ports 88 and 464 don't get a response.
Не самая плохая статья на неофициальном сайте минцифры: Kerberos простыми словами. Ссылки не будет.
Windows App Development Context Requirements
MS LDAP and ADSI
MS Ticket-Granting Tickets
MS AD FS OpenID Connect/OAuth concepts
MS Kerberos authentication overview in Windows Server
MS Anonymous LDAP operations to Active Directory are disabled on domain controllers
Anonymous LDAP operations in Windows 2003 AD
MS ldap_simple_bind function (winldap.h)
MS 5.1.1.1.1 Simple Authentication (The support of simple bind in Active Directory)
