erna1266
Goto Top

Server 2012R2: NTLMv1 Events trotz Deaktivierung

Hallo Mit-Administratoren,

ich habe hier ein Problem welches ich einfach nicht gelöst bekomme.

Situation:
- Domäne, drei Standorte, drei DCs, Server 2012R2, höchstes Functional Level...
- NTLMv1 in der Domäne deaktiviert per GPO (auf DCs per DomainController-GPOs, in der Domäne über sep. GPO)
- für Debugging NTLM-Logging auf DCs per GPO angeschaltet

Nun erhalte ich bei jedem DC-Boot (egal welcher DomainController) den Event 6038 (System, Quelle LSA) der besagt, dass in meiner Domäne NTLM verwendet wird (was nicht stimmt).
Im Security-Log gibt es genau ein Event 4624, dass auf NTLMv1 hinweist:

Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
	Sicherheits-ID:		NULL SID
	Kontoname:		-
	Kontodomäne:		-
	Anmelde-ID:		0x0

Anmeldetyp:			3

Identitätswechselebene:		Identitätswechsel

Neue Anmeldung:
	Sicherheits-ID:		ANONYMOUS-ANMELDUNG
	Kontoname:		ANONYMOUS-ANMELDUNG
	Kontodomäne:		NT-AUTORITÄT
	Anmelde-ID:		0xAE9A5
	Anmelde-GUID:		{00000000-0000-0000-0000-000000000000}

Prozessinformationen:
	Prozess-ID:		0x0
	Prozessname:		-

Netzwerkinformationen:
	Arbeitsstationsname:	
	Quellnetzwerkadresse:	-
	Quellport:		-

Detaillierte Authentifizierungsinformationen:
	Anmeldeprozess:		NtLmSsp 
	Authentifizierungspaket:	NTLM
	Übertragene Dienste:	-
	Paketname (nur NTLM):	NTLM V1
	Schlüssellänge:		0

Nach vielen Probieren habe ich herausgefunden, dass dieser Event immer dann einmalig erzeugt wird, wenn der Service "Server" gestartet wird. Das ist reproduzierbar.
Hat jemand eine Ahnung warum und wie ich das lösen kann? Ich will diesen Event 6038 loswerden.

PS: das NTLM-Logging bringt garnix, ich habe niemals ein Event mit einer der dazugehörigen IDs > 8000 gesehen.
PPS: ich habe mir schon einen Wolf gesucht und viele Tage mit der Lösung verschwendet.

Content-ID: 299367

Url: https://administrator.de/forum/server-2012r2-ntlmv1-events-trotz-deaktivierung-299367.html

Ausgedruckt am: 23.12.2024 um 13:12 Uhr

Pjordorf
Pjordorf 17.03.2016 um 12:35:39 Uhr
Goto Top
Hallo,

Zitat von @Erna1266:
Nun erhalte ich bei jedem DC-Boot (egal welcher DomainController) den Event 6038 (System, Quelle LSA) der besagt, dass in meiner Domäne NTLM verwendet wird
Sagt er das tatsächlich so oder Interpretierst du es so?

und viele Tage mit der Lösung verschwendet.
Dann Rufe den Hersteller deiner Software an, vereibaren einen Obulos und lass ihm den Fehler behen...

Gruß,
Peter
Erna1266
Erna1266 17.03.2016 um 13:47:08 Uhr
Goto Top
Hallo Peter,

danke für deine Antwort.

Im Event 6038 steht Folgendes:

Von Microsoft Windows Server wurde festgestellt, dass momentan zwischen Clients und diesem Server die NTLM-Authentifizierung verwendet wird. Dieses Ereignis tritt einmal pro Serverstart auf, wenn NTLM von einem Client erstmalig für den Server verwendet wird.
 
NTLM ist ein relativ schwacher Authentifizierungsmechanismus. Prüfen Sie Folgendes:
 
      Von welchen Anwendungen wird die NTLM-Authentifizierung verwendet?
      Liegen Konfigurationsprobleme vor, die verhindern, dass ein stärkerer Authentifizierungsmechanismus (etwa Kerberos) verwendet wird?
      Wenn NTLM unterstützt werden muss: Ist der erweiterte Schutz konfiguriert?

Dies interpretiere ich so, dass NTLM weiterhin Verwendung findet. Im Internet gibt es dazu genügend Artikel die einem erklären, wie man damit umzugehen hat. Die Hinweise habe ich umgesetzt und NTLMv1 über GPOs deaktiviert. Und dennoch kommt es immer zeitgleich dazu zu dem Event 4624 mit dem Hinweis auf die Nutzung von NTLMv1, siehe oben.

Ich verstehe den Zusammenhang mit dem Dienst "Server" nicht und finde dazu auch interessanterweise nichts im Netz.
StefanK007
StefanK007 03.05.2016 um 10:14:59 Uhr
Goto Top
Hallo,

ich bin grade dabei bei uns in der Domäne NTLM zu deaktivieren.

Hast du bezüglich des Loggings die beiden folgenden Optionen aktiviert?
https://technet.microsoft.com/de-de/library/jj852175.aspx
https://technet.microsoft.com/de-de/library/jj852254.aspx

Und hast du im richtigen Log unter "Anwendungs- und Dienstprotokolle\Microsoft\Windows\NTLM\Operational (Betriebsbereit)" geschaut?

Bei uns werden dort nach Aktivierung der beiden GPO Einträge massig Einträge erstellt.

Viele Grüße
Stefan
andreas65m
andreas65m 20.12.2024 um 08:59:38 Uhr
Goto Top
Hallo,

ich überwachen gerade die Events bezüglich NTLMv1 und sehe gerade, dass es einige Ereignisse mit NTLMv1 gibt

TargetUserName : ANONYMOUS-ANMELDUNG
TargetDomainName : NT-AUTORITÄT
TargetLogonId : 0x17aef1b0
LogonType : 3
LogonProcessName : NtLmSsp
AuthenticationPackageName : NTLM
WorkstationName : XXXXXX
LogonGuid : {00000000-0000-0000-0000-000000000000}
TransmittedServices : -
LmPackageName : NTLM V1

es handelt sich dabei immer nur um Server, unter anderem auch einen bei dem folgende Einstellung vorgenommen wurde

clipboard-image

Hat jemand von euch eine Ahnung, woran dies liegen kann und wie man diese Anmeldungen los wird?

Grüße
Andreas
Pjordorf
Pjordorf 20.12.2024 um 14:37:29 Uhr
Goto Top
Hallo,

Zitat von @andreas65m:
ich überwachen gerade die Events bezüglich NTLMv1 und sehe gerade, dass es einige Ereignisse mit NTLMv1 gibt
Als Admin der schon über 2 Jahre hier ist, sollte dir mitlerweilen klar sein das deine Frage in einen über 8 Jahren alten Rgewad kaum chance hat beantwortet zu werden. Und ohne deine HW, Softwatr, OSe usw. (Rahmenbedingungen) zu nennen wird es auch für Nicht-Admins sehr schwer bis unmöglich dir zu helefn. Und im Ereignisprotokoll gibt es auch Event Nummern (Event-ID). Auch das was vor dem Fehler gemacht wurde hilft uns dir zu helfen.. Und bei schon 43 eigene Threads weisst du ja wie man Fragen stelltface-smile

Gruss,
Peter