10
Wie lässt man NTLM zu gegenüber einem Azure File Share für Domain Credentials
Hallo,
laut einem NETMON Error Protokoll lässt der Azure File Share . kein NTLM für die Authentisierung für DFC Credentials nichts zu.. Muss man dies extra einstellen ?
Gruss
Paul
laut einem NETMON Error Protokoll lässt der Azure File Share . kein NTLM für die Authentisierung für DFC Credentials nichts zu.. Muss man dies extra einstellen ?
Gruss
Paul
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 31726217051
Url: https://administrator.de/contentid/31726217051
Printed on: April 27, 2024 at 16:04 o'clock
10 Comments
Latest comment
Das war sonst möglich. Aber MS versucht seit mindestens einem Jahr sehr aggressiv (für MS Verhältnisse), NTLM loszuwerden.
Das ist eine gute Sache und ggf musst du es wieder aktivieren. (Also das Loswerden)
Aber NTLM ist wirklich nicht so toll.
SMB3 idealerweise über QUIC kommt nciht in Betracht?
Das ist eine gute Sache und ggf musst du es wieder aktivieren. (Also das Loswerden)
Aber NTLM ist wirklich nicht so toll.
SMB3 idealerweise über QUIC kommt nciht in Betracht?
Moin @itnirvana:
das kann schon sein, dass per Default mittlerweile nur Kerberos aktiviert ist.
Was ist den bei dir an dieser Stelle konfiguriert ...
... ?
Weitere Details zu diesem Thema findest du übrigens hier.
https://learn.microsoft.com/de-de/azure/storage/files/files-smb-protocol ...
Gruss Alex
laut einem NETMON Error Protokoll lässt der Azure File Share . kein NTLM für die Authentisierung für DFC Credentials nichts zu.. Muss man dies extra einstellen ?
das kann schon sein, dass per Default mittlerweile nur Kerberos aktiviert ist.
Was ist den bei dir an dieser Stelle konfiguriert ...
... ?
Weitere Details zu diesem Thema findest du übrigens hier.
https://learn.microsoft.com/de-de/azure/storage/files/files-smb-protocol ...
Gruss Alex
Moin @8585324113,
ähm, du weist aber schon, das QUIC eher eine Alternative für TCP ist und mit der Authentifizierung an sich wie NTLM oder Kerberos, in erster Linie nicht wirklich was zu tun hat?
Gruss Alex
SMB3 idealerweise über QUIC kommt nciht in Betracht?
ähm, du weist aber schon, das QUIC eher eine Alternative für TCP ist und mit der Authentifizierung an sich wie NTLM oder Kerberos, in erster Linie nicht wirklich was zu tun hat?
Gruss Alex
Zitat von @MysticFoxDE:
Moin @8585324113,
ähm, du weist aber schon, das QUIC eher eine Alternative für TCP ist und mit der Authentifizierung an sich wie NTLM oder Kerberos, in erster Linie nicht wirklich was zu tun hat?
Gruss Alex
Moin @8585324113,
SMB3 idealerweise über QUIC kommt nciht in Betracht?
ähm, du weist aber schon, das QUIC eher eine Alternative für TCP ist und mit der Authentifizierung an sich wie NTLM oder Kerberos, in erster Linie nicht wirklich was zu tun hat?
Gruss Alex
SMB über QUIC beinhaltet auch Autorisierung und Authentifizierung.
Außer bei dir wieder nicht.
Moin @8585324113,
doch doch, aber bei mir, kann SMB über TCP übrigens auch genau das selbe, weil so Dinge wie Autorisierung und Authentifizierung und auch Signierung, von SMB kommen und zwar ganz unabhängig davon ob dieses über TCP oder QUIC läuft. 😉
Nur bei SMB über RDMA musste a weng ufpassen, den da solltest du bei SMB, zumindest was Windows angeht, weder Verschlüsselung noch Signierung verwenden, weshalb es für kritische Umgebungen eigentlich ein NoGo ist. 🙃
Und By the Way, der Trick mit dem Glatteis funktioniert bei einem 🦊 wegen der Krallen und des geringen Gewichtes nicht wirklich. 🤪
Gruss Alex
SMB über QUIC beinhaltet auch Autorisierung und Authentifizierung.
Außer bei dir wieder nicht.
Außer bei dir wieder nicht.
doch doch, aber bei mir, kann SMB über TCP übrigens auch genau das selbe, weil so Dinge wie Autorisierung und Authentifizierung und auch Signierung, von SMB kommen und zwar ganz unabhängig davon ob dieses über TCP oder QUIC läuft. 😉
Nur bei SMB über RDMA musste a weng ufpassen, den da solltest du bei SMB, zumindest was Windows angeht, weder Verschlüsselung noch Signierung verwenden, weshalb es für kritische Umgebungen eigentlich ein NoGo ist. 🙃
Und By the Way, der Trick mit dem Glatteis funktioniert bei einem 🦊 wegen der Krallen und des geringen Gewichtes nicht wirklich. 🤪
Gruss Alex
Klar, und wenn Du die Wahl hast, dann machst Du zur Azure TCP auf ein Share?!
Heute ist Freitag.
Heute ist Freitag.
Moin @8585324113,
oh jäh, stimmt, habe ich ganz vergessen, heute ist ja mal wieder auch Kindergarten angesagt, danke für den Hinweis.
https://learn.microsoft.com/de-de/windows-server/storage/file-server/smb ...
Gruss Alex
Klar, und wenn Du die Wahl hast, dann machst Du zur Azure TCP auf ein Share?!
Heute ist Freitag.
Heute ist Freitag.
oh jäh, stimmt, habe ich ganz vergessen, heute ist ja mal wieder auch Kindergarten angesagt, danke für den Hinweis.
https://learn.microsoft.com/de-de/windows-server/storage/file-server/smb ...
Gruss Alex
Hast du heute Überspannung oder Überclownung?
Wir reden von einem Azure Share. Da kann man TCP machen, aber es ist QUIC mindestens empfohlen. Und du kommst mit RDMA. 🤦
Wir reden von einem Azure Share. Da kann man TCP machen, aber es ist QUIC mindestens empfohlen. Und du kommst mit RDMA. 🤦
Moin @8585324113,
ah ja, QUIC ist also schon mindestens empfohlen, so so und was ist dann bitte die Maximalempfehlung?
Ferner, du hast das schon noch auf dem Schirm, dass der TO sich per NTLM authentifizieren möchte und das die Verwendung von SMB over QUIC eine funktionierende und sauber konfigurierte PKI voraussetzt?
Und übrigens ...
https://learn.microsoft.com/en-us/azure/storage/files/storage-files-plan ...
Gruss Alex
Wir reden von einem Azure Share. Da kann man TCP machen, aber es ist QUIC mindestens empfohlen.
ah ja, QUIC ist also schon mindestens empfohlen, so so und was ist dann bitte die Maximalempfehlung?
Ferner, du hast das schon noch auf dem Schirm, dass der TO sich per NTLM authentifizieren möchte und das die Verwendung von SMB over QUIC eine funktionierende und sauber konfigurierte PKI voraussetzt?
Und übrigens ...
Gruss Alex
Lösung:
Beim Anmelden holt sich der Benutzer normalerweise ein Kerberos-Token von Azure Storage. Allerdings ist es so, dass der Azure Storage derzeit ausschließlich Kerberos mit einem Token aus der lokalen Umgebung verwenden kann.
Um dieses Problem zu lösen, wird eine Richtlinie umgesetzt, die sicherstellt, dass das Kerberos-Token nicht mehr von Azure, sondern von der lokalen Active Directory-Umgebung erzeugt wird. Dadurch wird gewährleistet, dass der Azure Storage das Kerberos-Token erhält, das von der On-Premises Active Directory generiert wurde.
Beim Anmelden holt sich der Benutzer normalerweise ein Kerberos-Token von Azure Storage. Allerdings ist es so, dass der Azure Storage derzeit ausschließlich Kerberos mit einem Token aus der lokalen Umgebung verwenden kann.
Um dieses Problem zu lösen, wird eine Richtlinie umgesetzt, die sicherstellt, dass das Kerberos-Token nicht mehr von Azure, sondern von der lokalen Active Directory-Umgebung erzeugt wird. Dadurch wird gewährleistet, dass der Azure Storage das Kerberos-Token erhält, das von der On-Premises Active Directory generiert wurde.
1