6
Lebewohl NTLM! Wer hat es hinter sich und wer kann helfen?
Ich bin eigentlich so weit, NTLM auf Domaincontrollern in einer Windows-Domäne abzuschalten.
Testweise wurde "Netzwerksicherheit: Beschränken von NTLM-Authentifizierung in dieser Domäne" auf "für Domänenkonten verweigern" gesetzt.
Bis auf eine Erkenntnis funktioniert alles: Möchte man eine RDP-Verbindung von einem nicht Domänenmitglied (W11pro aktuell) auf einen PC in der Domäne herstellen (mit Domänenzugangsdaten), funktioniert das leider nicht mehr: "Authentifizierungsfehler". Ofensichtlich wird an dieser Stelle noch NTLM gebraucht.
Es handelt sich um ein paar Notebooks, die zwar im Monitoring und im SOC sind; aber nicht in der Domäne, weil sie nur in in besonderen Fällen von unterwegs aus via VPN für RDP gebraucht werden.
Nun die Frage an die Pros: Habt Ihr eine Ahnung, könnt Ihr helfen? Wie sind eure Erfahrungen?
Schon einmal herzlichen Dank vorab.
Testweise wurde "Netzwerksicherheit: Beschränken von NTLM-Authentifizierung in dieser Domäne" auf "für Domänenkonten verweigern" gesetzt.
Bis auf eine Erkenntnis funktioniert alles: Möchte man eine RDP-Verbindung von einem nicht Domänenmitglied (W11pro aktuell) auf einen PC in der Domäne herstellen (mit Domänenzugangsdaten), funktioniert das leider nicht mehr: "Authentifizierungsfehler". Ofensichtlich wird an dieser Stelle noch NTLM gebraucht.
Es handelt sich um ein paar Notebooks, die zwar im Monitoring und im SOC sind; aber nicht in der Domäne, weil sie nur in in besonderen Fällen von unterwegs aus via VPN für RDP gebraucht werden.
Nun die Frage an die Pros: Habt Ihr eine Ahnung, könnt Ihr helfen? Wie sind eure Erfahrungen?
Schon einmal herzlichen Dank vorab.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 82695784620
Url: https://administrator.de/contentid/82695784620
Ausgedruckt am: 17.11.2024 um 11:11 Uhr
6 Kommentare
Neuester Kommentar
@all
bin mir nicht ganz sicher, aber ist es nicht so das Kerberos Authentifizierung nur funktioniert wenn der Client in der Domäne ist?!
bin mir nicht ganz sicher, aber ist es nicht so das Kerberos Authentifizierung nur funktioniert wenn der Client in der Domäne ist?!
Auf jeden Fall braucht Kerbeos offensichtlich den Hostnamen für die Athentifizierung. Ich habe es mit der IP versucht. Das könnte eine Ursache sein. Ich werde das später noch einmal mit Hostnamen versuchen und berichten.
bzw.
- als Ziel den FQDN des Servers
- als Anmeldename den UPN des Benutzers
Zitat von @Tobi-2001:
@all
bin mir nicht ganz sicher, aber ist es nicht so das Kerberos Authentifizierung nur funktioniert wenn der Client in der Domäne ist?!
@all
bin mir nicht ganz sicher, aber ist es nicht so das Kerberos Authentifizierung nur funktioniert wenn der Client in der Domäne ist?!
Unter Linux nach meiner Erfahrung und Handhabung ganz klar: NEIN. Wird die /etc/krb5.conf richtig konfiguriert, können Nichtmitglieder dennoch jederzeit und problemlos Kerberos-Tickets ziehen. Passende (Test-)Befehle: kinit und klist.
Der Grund dafür ist nach meinem Verständnis, dass Kerberos ein bestimmtes Authentifizierungsverfahren ist, das nicht zwingend eine Domäne voraussetzt. Jedoch bedarf es eines / mehrerer Kerberos-Server, die das benötigte Ticket ausstellen (können). Und diese Aufgabe erledigen nunmal die Domänenkontroller. Daher wird es regelmäßig so sein, dass die Bedeutung von Kerberos untrennbar mit der Nutzung einer Domäne verbunden ist. Zwingend ist das wohl aber nicht.
Das Ziehen von Kerberos-Tickets ohne Domänenmitgliedschaft ist auch deshalb erforderlich, weil ein Client immer nur in einer Domäne ein Mitglied sein. Dennoch kann das Bedürfnis bestehen, sich bei mehreren Domänen anmelden zu können. Demgemäß können in der /etc/krb5.conf mehrere Domänen konfiguriert werden, wenngleich eine Domäne als default definiert wird; das wird regelmäßig die Mitgliedschaftsdomäne sein.
Viele Grüße
HansDampf06
2
Aktuell stehen noch einige Tests an. Ich werde später berichten.
Es gab noch ein Problem mit Canon-Kopierern, die offensichtlich kein Kerbeos (für Dateiablage) können. Aber das könnte man auf einen anderen Speicherort (außerhalb der Domäne) umleiten.
Es gab noch ein Problem mit Canon-Kopierern, die offensichtlich kein Kerbeos (für Dateiablage) können. Aber das könnte man auf einen anderen Speicherort (außerhalb der Domäne) umleiten.
Zitat von @emeriks:
bzw.
bzw.
- als Ziel den FQDN des Servers
- als Anmeldename den UPN des Benutzers
Damit erfogt die Authentifizierung der RDP-Verbindung über Kerbeos. Ob der zugreifende PC in der Domäne ist, oder nicht, spielt keine Rolle.
