Lebewohl NTLM! Wer hat es hinter sich und wer kann helfen?
Ich bin eigentlich so weit, NTLM auf Domaincontrollern in einer Windows-Domäne abzuschalten.
Testweise wurde "Netzwerksicherheit: Beschränken von NTLM-Authentifizierung in dieser Domäne" auf "für Domänenkonten verweigern" gesetzt.
Bis auf eine Erkenntnis funktioniert alles: Möchte man eine RDP-Verbindung von einem nicht Domänenmitglied (W11pro aktuell) auf einen PC in der Domäne herstellen (mit Domänenzugangsdaten), funktioniert das leider nicht mehr: "Authentifizierungsfehler". Ofensichtlich wird an dieser Stelle noch NTLM gebraucht.
Es handelt sich um ein paar Notebooks, die zwar im Monitoring und im SOC sind; aber nicht in der Domäne, weil sie nur in in besonderen Fällen von unterwegs aus via VPN für RDP gebraucht werden.
Nun die Frage an die Pros: Habt Ihr eine Ahnung, könnt Ihr helfen? Wie sind eure Erfahrungen?
Schon einmal herzlichen Dank vorab.
Testweise wurde "Netzwerksicherheit: Beschränken von NTLM-Authentifizierung in dieser Domäne" auf "für Domänenkonten verweigern" gesetzt.
Bis auf eine Erkenntnis funktioniert alles: Möchte man eine RDP-Verbindung von einem nicht Domänenmitglied (W11pro aktuell) auf einen PC in der Domäne herstellen (mit Domänenzugangsdaten), funktioniert das leider nicht mehr: "Authentifizierungsfehler". Ofensichtlich wird an dieser Stelle noch NTLM gebraucht.
Es handelt sich um ein paar Notebooks, die zwar im Monitoring und im SOC sind; aber nicht in der Domäne, weil sie nur in in besonderen Fällen von unterwegs aus via VPN für RDP gebraucht werden.
Nun die Frage an die Pros: Habt Ihr eine Ahnung, könnt Ihr helfen? Wie sind eure Erfahrungen?
Schon einmal herzlichen Dank vorab.
Please also mark the comments that contributed to the solution of the article
Content-ID: 82695784620
Url: https://administrator.de/contentid/82695784620
Printed on: December 7, 2024 at 17:12 o'clock
6 Comments
Latest comment
Zitat von @Tobi-2001:
@all
bin mir nicht ganz sicher, aber ist es nicht so das Kerberos Authentifizierung nur funktioniert wenn der Client in der Domäne ist?!
@all
bin mir nicht ganz sicher, aber ist es nicht so das Kerberos Authentifizierung nur funktioniert wenn der Client in der Domäne ist?!
Unter Linux nach meiner Erfahrung und Handhabung ganz klar: NEIN. Wird die /etc/krb5.conf richtig konfiguriert, können Nichtmitglieder dennoch jederzeit und problemlos Kerberos-Tickets ziehen. Passende (Test-)Befehle: kinit und klist.
Der Grund dafür ist nach meinem Verständnis, dass Kerberos ein bestimmtes Authentifizierungsverfahren ist, das nicht zwingend eine Domäne voraussetzt. Jedoch bedarf es eines / mehrerer Kerberos-Server, die das benötigte Ticket ausstellen (können). Und diese Aufgabe erledigen nunmal die Domänenkontroller. Daher wird es regelmäßig so sein, dass die Bedeutung von Kerberos untrennbar mit der Nutzung einer Domäne verbunden ist. Zwingend ist das wohl aber nicht.
Das Ziehen von Kerberos-Tickets ohne Domänenmitgliedschaft ist auch deshalb erforderlich, weil ein Client immer nur in einer Domäne ein Mitglied sein. Dennoch kann das Bedürfnis bestehen, sich bei mehreren Domänen anmelden zu können. Demgemäß können in der /etc/krb5.conf mehrere Domänen konfiguriert werden, wenngleich eine Domäne als default definiert wird; das wird regelmäßig die Mitgliedschaftsdomäne sein.
Viele Grüße
HansDampf06