Fernzugriff auf Domänenrechner nach NTLM-Abschaltung
Ich möchte (als interessierter Laie) in meiner kleinen Domäne mit einem Windows Server 2019 als Domaincontroller und mehreren Windows 10 Clients aus Sicherheitsgründen NTLM abschalten. Das Netz "hängt" über eine pfsense Firewall an einer Fritzbox. Bei der Anmeldung der lokalen Clients gibt es keine Probleme.
Ich greife nun regelmäßig von zu Hause per Wireguard VPN und RDP auf einen der Clients zu. Wireguard-Server ist ein Raspi im WAN-Bereich der Firewall, diese hat eine Portweiterleitung für den RDP-Port in den LAN-Bereich konfiguriert. Zum Verbindungsaufbau gebe ich die IP-Adresse des DOmänenrechners ein, was problemlos funktioniert. Nach Abschalten von NTLM würde der Domaincontroller allerdings diese Verbindung per IP-Adresse ablehnen, wie das Audit-Protokoll zeigt (bin derzeit erst im "Audit"-Mode -> Fehler 8004), weil Kerberos grindätzlich NetBIOS Namen voraussetzt und keine IP-Nummern akzeptiert.
Ich habe nun gelesen, dass man diese an sich ausgeschaltete Anmeldung per IP-Adresse seit Windows Server 2016 wieder zulassen kann. Hierzu muss man einen Dienstprinzipalnamen als IP Adresse konfigurieren (Setspn -s <service>/ip.address> <domain-user-account>) und dann dem Client per Registry Schlüssel mitteilen, dass er die IP-SPN Autenthifizierung versuchen soll (reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters" /v TryIPSPN /t REG_DWORD /d 1 /f). Hab das durchgeführt, aber trotzdem meldet das Fehlerprotokoll, dass nach Abschaltung von NTLM die Authentifizierung abgelehnt werden würde.
Deswegen meine Frage: ist es überhaupt möglich, sich von extern also mit einem Nicht-Domänen-Rechner per RDP/VPN nach Abschaltung von NTLM au einem Domänenrechner anzumelden? Gibt es einen Workaround? Was mache ich falsch?
Ich greife nun regelmäßig von zu Hause per Wireguard VPN und RDP auf einen der Clients zu. Wireguard-Server ist ein Raspi im WAN-Bereich der Firewall, diese hat eine Portweiterleitung für den RDP-Port in den LAN-Bereich konfiguriert. Zum Verbindungsaufbau gebe ich die IP-Adresse des DOmänenrechners ein, was problemlos funktioniert. Nach Abschalten von NTLM würde der Domaincontroller allerdings diese Verbindung per IP-Adresse ablehnen, wie das Audit-Protokoll zeigt (bin derzeit erst im "Audit"-Mode -> Fehler 8004), weil Kerberos grindätzlich NetBIOS Namen voraussetzt und keine IP-Nummern akzeptiert.
Ich habe nun gelesen, dass man diese an sich ausgeschaltete Anmeldung per IP-Adresse seit Windows Server 2016 wieder zulassen kann. Hierzu muss man einen Dienstprinzipalnamen als IP Adresse konfigurieren (Setspn -s <service>/ip.address> <domain-user-account>) und dann dem Client per Registry Schlüssel mitteilen, dass er die IP-SPN Autenthifizierung versuchen soll (reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters" /v TryIPSPN /t REG_DWORD /d 1 /f). Hab das durchgeführt, aber trotzdem meldet das Fehlerprotokoll, dass nach Abschaltung von NTLM die Authentifizierung abgelehnt werden würde.
Deswegen meine Frage: ist es überhaupt möglich, sich von extern also mit einem Nicht-Domänen-Rechner per RDP/VPN nach Abschaltung von NTLM au einem Domänenrechner anzumelden? Gibt es einen Workaround? Was mache ich falsch?
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2652662929
Url: https://administrator.de/forum/fernzugriff-auf-domaenenrechner-nach-ntlm-abschaltung-2652662929.html
Ausgedruckt am: 15.05.2025 um 02:05 Uhr
7 Kommentare
Neuester Kommentar
Kerberos benötigt den Hostname und damit ein funktionierendes DNS, nicht den NetBIOS-Namen.
Also sorg für eine funktionierende DNS-Auflösung, dann ist dein eines Problem weg.
Da aber ein non-Domainmember keine Kerberostickets beziehen kann, könntest du hier ins nächste Problem laufen. Müsstest du dann aber testen.
Also sorg für eine funktionierende DNS-Auflösung, dann ist dein eines Problem weg.
Da aber ein non-Domainmember keine Kerberostickets beziehen kann, könntest du hier ins nächste Problem laufen. Müsstest du dann aber testen.
Das Kerberos-Ticket soll ja eigentlich mein Domainrechner, auf den ich mich aufschalte, beziehen, nicht mein Rechner zu Hause, der nicht Domainmitglied ist. Aber vermutlich ist RDP zu schlau und möchte dann den Rechner zu Hause authentifizieren, was natürlich dann nicht gehen kann.
Mit der DNS-Auflösung: natürlich kann ich in meinen häuslichen DNS-Server (PiHole) einen DNS-Eintrag eintragen; dann kann ich zwar beim RDP-Client zu Hause den Hostnamen eingeben, der wird aber noch zu Hause in eine IP-Nummer übersetzt, so dass dies vermutlich auch nicht hilft.
Ich denke nur, was ich möchte, ist eigentlich nichts ungewöhnliches; deswegen müsste es vielleicht doch irgendeinen Workaround geben?
Evtl. könnte es natürlich auch mit VNC gehen?
Mit der DNS-Auflösung: natürlich kann ich in meinen häuslichen DNS-Server (PiHole) einen DNS-Eintrag eintragen; dann kann ich zwar beim RDP-Client zu Hause den Hostnamen eingeben, der wird aber noch zu Hause in eine IP-Nummer übersetzt, so dass dies vermutlich auch nicht hilft.
Ich denke nur, was ich möchte, ist eigentlich nichts ungewöhnliches; deswegen müsste es vielleicht doch irgendeinen Workaround geben?
Evtl. könnte es natürlich auch mit VNC gehen?
Du bist Laie? Und da ist NTLM auf der Agenda? Ich kümmere mich auch gerade um das Thema, aber nur weil wir sonst schon ungefähr alles zugenagelt haben, was es an Sicherheitsthemen gibt. Ich würde mir als Laie andere Sorgen machen und zunächst mal sehen, ob der Schutzbedarf ausreichend definitiert ist - was schütze ich wogegen, mit welcher Priorität?
Mit der DNS-Auflösung: natürlich kann ich in meinen häuslichen DNS-Server (PiHole) einen DNS-Eintrag eintragen; dann kann ich zwar beim RDP-Client zu Hause den Hostnamen eingeben, der wird aber noch zu Hause in eine IP-Nummer übersetzt, so dass dies vermutlich auch nicht hilft.
Dann ist deine VPN-Lösung unbrauchbar oder falsch konfiguriert. Brauchbare VPN-Lösungen beherrschen DNS und können einen DNS-Server vom Server abrufen und für Anfragen nutzen. Gute Lösungen beherrschen Split-DNS und können über Teile des Hostnames den jeweilig zuständigen DNS-Server, lokal oder remote, auswählen und anfragen.
Habe leider die DNS-Auflösung zu Hause per VPN über meinen Domaincontroller nicht hinbekommen. Man kann den DNS Server im Wireguard client einstellen, hab ich natürlich gemacht, funktioniert leider trotzdem nicht.
@derwusstewo: Ich bin auch am Zweifeln, ob die Abschaltung von NTLM einen großen Sicherheitsgewinn bringt, bin aber leider rechtlich dazu verpflichtet. Immerhin scheint es auch für Profis keine einfache Lösung zu geben, obwohl ja eigentlich vermutlich eine häufiges Problem (Fernzugriff auf Windows-Domäne per VPN/RDP mit Kerberos-Authentifizierung).
bin aber leider rechtlich dazu verpflichtet.
Wodurch?Und wie ist das Szenario, sitzt Du zu Hause und willst per RDP in eine gesicherte Umgebung?
