Domain.local Kerberos
Hallo,
Hat irgendjemand es hinbekommen, dass ein Zugriff auf \\domain.local bei deaktivierten NTLM (also bei Verwendung von Kerberos) funktioniert?
Nachtrag: domain.local ist plakativ zu verstehen. Gemeint ist ein Zugriff auf \\SDL.TLD. Also ohne Host/Subdomain)
Ich sehe am Client immer folgenden Fehler im Log:
Die einzige Lösung die ich bisher gefunden habe ist, einen SPN für cifs/domain.local zu setzen (wenn man nur einen DC in Verwendung hat). Also
Nur über (negative?) Nebenwirkungen ist mir halt leider nichts bekannt.
Auch Frage ich mich, ob das so tatsächlich notwendig ist.
Leider ist im www sehr, sehr wenig dazu zu finden. Und die paar Webseiten die man findet, helfen mir nicht weiter.
Beste Grüße
Patrick
Hat irgendjemand es hinbekommen, dass ein Zugriff auf \\domain.local bei deaktivierten NTLM (also bei Verwendung von Kerberos) funktioniert?
Nachtrag: domain.local ist plakativ zu verstehen. Gemeint ist ein Zugriff auf \\SDL.TLD. Also ohne Host/Subdomain)
Ich sehe am Client immer folgenden Fehler im Log:
NTLM client blocked: Outgoing NTLM authentication traffic to remote servers that is blocked.
Target server: cifs/domain.local
Supplied user: (NULL)
Supplied domain: (NULL)
PID of client process: 4
Name of client process:
LUID of client process: 0x00A00B
User identity of client process: user.name
Domain name of user identity of client process: DOMAIN
Mechanism OID: 1.1.1.1.1.1.111.1.1.10
Die einzige Lösung die ich bisher gefunden habe ist, einen SPN für cifs/domain.local zu setzen (wenn man nur einen DC in Verwendung hat). Also
setspn -S cifs/domain.local DC01
Nur über (negative?) Nebenwirkungen ist mir halt leider nichts bekannt.
Auch Frage ich mich, ob das so tatsächlich notwendig ist.
Leider ist im www sehr, sehr wenig dazu zu finden. Und die paar Webseiten die man findet, helfen mir nicht weiter.
Beste Grüße
Patrick
Please also mark the comments that contributed to the solution of the article
Content-ID: 74072458923
Url: https://administrator.de/contentid/74072458923
Printed on: October 6, 2024 at 19:10 o'clock
19 Comments
Latest comment
Verstehe ich Dich richtig, dass Du Dich wunderst, warum Du keinen Zugang zu Deinem DC über Kerberos hast?
Die Implementierung des Kerberos-Protokolls muss auf dem Client und dem Server korrekt konfiguriert sein, um die Authentifizierung und Autorisierung über das Kerberos-Protokoll zu ermöglichen.
https://learn.microsoft.com/de-de/troubleshoot/windows-server/windows-se ...
Die Implementierung des Kerberos-Protokolls muss auf dem Client und dem Server korrekt konfiguriert sein, um die Authentifizierung und Autorisierung über das Kerberos-Protokoll zu ermöglichen.
https://learn.microsoft.com/de-de/troubleshoot/windows-server/windows-se ...
Dir ist schon bewusst, dass .local eine reservierte TLD ist und nicht verwendet werden sollte.
https://en.wikipedia.org/wiki/.local
Jürgen
https://en.wikipedia.org/wiki/.local
Jürgen
Hi aber bei \\domain.local solltest du ein sysvol und ein netlogom Ordner sehen.
Und ja local ist ungut aber lässt sich ja bekanntlich schwer bis garnicht ändern und um 2000 rum haben das Berater für viel Geld so auf dem ersten DC eingerichtet und es gab überall die contoso.local im technet etc. ....
Was für ein DC Level und welches OS haben die DCs?
Was kommt wenn du auf \\dc1\ gehst ist da ein Sysvol / Netlogon da ?
Mit freundlichen Grüßen Nemesis
Und ja local ist ungut aber lässt sich ja bekanntlich schwer bis garnicht ändern und um 2000 rum haben das Berater für viel Geld so auf dem ersten DC eingerichtet und es gab überall die contoso.local im technet etc. ....
Was für ein DC Level und welches OS haben die DCs?
Was kommt wenn du auf \\dc1\ gehst ist da ein Sysvol / Netlogon da ?
Mit freundlichen Grüßen Nemesis
Zitat von @chiefteddy:
Hallo @8585324113,
dir ist schon bewusst, dass es hier auch um Namensauflösung geht.
Und weißt du, was Windows mit unzulässigen TLDs macht und welche Auswirkungen das auf Dienste hat, die davon abhängig sind?
Jürgen
Hallo @8585324113,
dir ist schon bewusst, dass es hier auch um Namensauflösung geht.
Und weißt du, was Windows mit unzulässigen TLDs macht und welche Auswirkungen das auf Dienste hat, die davon abhängig sind?
Jürgen
Nein, Du verbreitest einen der falschen Dauerbrenner hier im Forum. Es ist traurig, weil es Administrator und nicht Azubi.de heißt.
Selbiges in grün mit mDNS.
Hallo @8585324113,
den verlinkten Artikel von @aqui gelesen?
Und warum bist du so aggressiv? Der TO hat ein Problem mit einem Windows-Dienst, der die Namensauflösung nutzt. Mir ist in seiner Konfiguration etwas aufgefallen und ich habe ihn darauf hingewiesen.
Mein Hinweis ist sachlich begründet, ob er ursächlich für das Problem ist, weiß ich nicht. Habe ich aber auch nicht behauptet.
Also warum so aggressiv?
Jürgen
PS. Und sachlich begründet, warum es daran nicht liegen kann, hast du nicht.
den verlinkten Artikel von @aqui gelesen?
Und warum bist du so aggressiv? Der TO hat ein Problem mit einem Windows-Dienst, der die Namensauflösung nutzt. Mir ist in seiner Konfiguration etwas aufgefallen und ich habe ihn darauf hingewiesen.
Mein Hinweis ist sachlich begründet, ob er ursächlich für das Problem ist, weiß ich nicht. Habe ich aber auch nicht behauptet.
Also warum so aggressiv?
Jürgen
PS. Und sachlich begründet, warum es daran nicht liegen kann, hast du nicht.
Zitat von @chiefteddy:
Hallo @8585324113,
den verlinkten Artikel von @aqui gelesen?
Und warum bist du so aggressiv? Der TO hat ein Problem mit einem Windows-Dienst, der die Namensauflösung nutzt. Mir ist in seiner Konfiguration etwas aufgefallen und ich habe ihn darauf hingewiesen.
Mein Hinweis ist sachlich begründet, ob er ursächlich für das Problem ist, weiß ich nicht. Habe ich aber auch nicht behauptet.
Also warum so aggressiv?
Jürgen
PS. Und sachlich begründet, warum es daran nicht liegen kann, hast du nicht.
Hallo @8585324113,
den verlinkten Artikel von @aqui gelesen?
Und warum bist du so aggressiv? Der TO hat ein Problem mit einem Windows-Dienst, der die Namensauflösung nutzt. Mir ist in seiner Konfiguration etwas aufgefallen und ich habe ihn darauf hingewiesen.
Mein Hinweis ist sachlich begründet, ob er ursächlich für das Problem ist, weiß ich nicht. Habe ich aber auch nicht behauptet.
Also warum so aggressiv?
Jürgen
PS. Und sachlich begründet, warum es daran nicht liegen kann, hast du nicht.
Der verlinkte Artikel hat auch nichts mit dem Problem zu tun.
Die Clients haben konfigurierte DNS Server, warum sollen sie dann z. B. mDNS machen?
Wenn es Drittsoftware gibt die abweichende Auflösungen macht, dann ist das ein anderes Problem und gehört gepflegt.
Ich bin auch nicht aggressiv, aber anders dringe ich nicht durch.
Hier ist ein öffentliches Forum und Falschinformationen werden verbreitet und nicht moderiert. Das ist erbärmlich.
Hat jemand das Audit aktiv und kann das gleiche Verhalten feststellen? Also dass ein Zugriff auf \\SDL.TLD eine Warnung auslöst?
Ja, ist bei mir auch so und auch in einer frischen Testdomäne (Server 22 als DC).Kurz nachgehakt: warum willst Du diese Notation nutzen? Vielleicht ist Dir entgangen, dass NUR \\dom.local nicht geht, während \\dom.local\sysvol (usw...) funktioniert.
Ich habe einzig die Befürchtung, dass eine mögliche spätere Fehlersuche schwierig wird, wenn in den Logs Ereignisse zu finden sind, die eigentlich keine Auswirkung haben, da trotzdem alles funktioniert.
Das ist ein Holzweg. Das Windows-Eventlog ist NIE sauber. Das Rechner tadellos funktionieren und dennoch x Warnungen und zum Teil auch Fehler zeigen an x Orten ist normales Rauschen. Ich sehe keine Chance, das zu verhindern, so ärgerlich es auch scheint.Zitat von @DerWoWusste:
Vielleicht ist Dir entgangen, dass NUR \\dom.local nicht geht, während \\dom.local\sysvol (usw...) funktioniert.
Vielleicht ist Dir entgangen, dass NUR \\dom.local nicht geht, während \\dom.local\sysvol (usw...) funktioniert.
Das kann ich in praktischer Hinsicht so nicht ganz bestätigen. Bei der hiesigen Domäne ist es sehr wohl möglich, von einem beliebigen Windows-Client (8.1 und 10) aus im Dateiexplorer auf \\domain.tld zuzugreifen und dann sind die Freigaben netlogon und sysvol sichtbar. Diesbezüglich spielt es auch keine Rolle, ob nur Windows-DC's oder Samba-DC's oder eine Mischung aus beiden für die Domäne werkelt. Der Erinnerung nach ist das schon immer so möglich gewesen.
Auf einem Windows-Core-Server klappt net use \\domain.tld ebenfalls. Aufgelistet wird dann "OK" mit "\\domain.tld\IPC$". Hingegen scheitern net use * \\domain.tld oder net use E: \\domain.tld.
NTLM für den Zugriff auf Remoteserver ist aber (bisher) nicht deaktiviert - weder lokal noch per GPO, wenngleich nur noch NTLMv2 akzeptiert wird (= Level 5).
Insoweit kann der TO das einmal bei sich die genannten Varianten testen - vielleicht bringt ihn das bei seinen Erkenntnissen weiter.
Viele Grüße
HansDampf06
PS: Wie handhabt Ihr eigentlich NTLM: Alles deaktiviert oder "nur" Level 5 aktiviert?