Lebewohl NTLM! Wer hat es hinter sich und wer kann helfen?
Ich bin eigentlich so weit, NTLM auf Domaincontrollern in einer Windows-Domäne abzuschalten.
Testweise wurde "Netzwerksicherheit: Beschränken von NTLM-Authentifizierung in dieser Domäne" auf "für Domänenkonten verweigern" gesetzt.
Bis auf eine Erkenntnis funktioniert alles: Möchte man eine RDP-Verbindung von einem nicht Domänenmitglied (W11pro aktuell) auf einen PC in der Domäne herstellen (mit Domänenzugangsdaten), funktioniert das leider nicht mehr: "Authentifizierungsfehler". Ofensichtlich wird an dieser Stelle noch NTLM gebraucht.
Es handelt sich um ein paar Notebooks, die zwar im Monitoring und im SOC sind; aber nicht in der Domäne, weil sie nur in in besonderen Fällen von unterwegs aus via VPN für RDP gebraucht werden.
Nun die Frage an die Pros: Habt Ihr eine Ahnung, könnt Ihr helfen? Wie sind eure Erfahrungen?
Schon einmal herzlichen Dank vorab.
Testweise wurde "Netzwerksicherheit: Beschränken von NTLM-Authentifizierung in dieser Domäne" auf "für Domänenkonten verweigern" gesetzt.
Bis auf eine Erkenntnis funktioniert alles: Möchte man eine RDP-Verbindung von einem nicht Domänenmitglied (W11pro aktuell) auf einen PC in der Domäne herstellen (mit Domänenzugangsdaten), funktioniert das leider nicht mehr: "Authentifizierungsfehler". Ofensichtlich wird an dieser Stelle noch NTLM gebraucht.
Es handelt sich um ein paar Notebooks, die zwar im Monitoring und im SOC sind; aber nicht in der Domäne, weil sie nur in in besonderen Fällen von unterwegs aus via VPN für RDP gebraucht werden.
Nun die Frage an die Pros: Habt Ihr eine Ahnung, könnt Ihr helfen? Wie sind eure Erfahrungen?
Schon einmal herzlichen Dank vorab.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 82695784620
Url: https://administrator.de/forum/lebewohl-ntlm-wer-hat-es-hinter-sich-und-wer-kann-helfen-82695784620.html
Ausgedruckt am: 19.12.2024 um 17:12 Uhr
6 Kommentare
Neuester Kommentar
Zitat von @Tobi-2001:
@all
bin mir nicht ganz sicher, aber ist es nicht so das Kerberos Authentifizierung nur funktioniert wenn der Client in der Domäne ist?!
@all
bin mir nicht ganz sicher, aber ist es nicht so das Kerberos Authentifizierung nur funktioniert wenn der Client in der Domäne ist?!
Unter Linux nach meiner Erfahrung und Handhabung ganz klar: NEIN. Wird die /etc/krb5.conf richtig konfiguriert, können Nichtmitglieder dennoch jederzeit und problemlos Kerberos-Tickets ziehen. Passende (Test-)Befehle: kinit und klist.
Der Grund dafür ist nach meinem Verständnis, dass Kerberos ein bestimmtes Authentifizierungsverfahren ist, das nicht zwingend eine Domäne voraussetzt. Jedoch bedarf es eines / mehrerer Kerberos-Server, die das benötigte Ticket ausstellen (können). Und diese Aufgabe erledigen nunmal die Domänenkontroller. Daher wird es regelmäßig so sein, dass die Bedeutung von Kerberos untrennbar mit der Nutzung einer Domäne verbunden ist. Zwingend ist das wohl aber nicht.
Das Ziehen von Kerberos-Tickets ohne Domänenmitgliedschaft ist auch deshalb erforderlich, weil ein Client immer nur in einer Domäne ein Mitglied sein. Dennoch kann das Bedürfnis bestehen, sich bei mehreren Domänen anmelden zu können. Demgemäß können in der /etc/krb5.conf mehrere Domänen konfiguriert werden, wenngleich eine Domäne als default definiert wird; das wird regelmäßig die Mitgliedschaftsdomäne sein.
Viele Grüße
HansDampf06