ferraith 0 Geschrieben 10. November 2013 Melden Teilen Geschrieben 10. November 2013 (bearbeitet) Hallo! Ich habe akuell eine Test-Domäne aufgebaut, die eine Mischung aus Clients auf Basis von Windows XP und Windows 7 enthält. Der Domain-Controller ist ein Windows 2012 Server Standard Edition. In meinem AD sind alle Client-PCs hinterlegt, Benutzer angelegt usw. Die Anmeldung klappt fehlerfrei. Ich erhalte allerdings in den Log-Files folgende Warning: TEST-SERVER-01 6038 Warnung Microsoft-Windows-LSA System 10.11.2013 17:46:52 Von Microsoft Windows Server wurde festgestellt, dass momentan zwischen Clients und diesem Server die NTLM-Authentifizierung verwendet wird. Dieses Ereignis tritt einmal pro Serverstart auf, wenn NTLM von einem Client erstmalig für den Server verwendet wird. NTLM ist ein relativ schwacher Authentifizierungsmechanismus. Prüfen Sie Folgendes: Von welchen Anwendungen wird die NTLM-Authentifizierung verwendet? Liegen Konfigurationsprobleme vor, die verhindern, dass ein stärkerer Authentifizierungsmechanismus (etwa Kerberos) verwendet wird? Wenn NTLM unterstützt werden muss: Ist der erweiterte Schutz konfiguriert? Ausführliche Informationen zum Ausführen dieser Überprüfungen finden Sie unter "http://go.microsoft.com/fwlink/?LinkId=225699". In den GPOs sind folgende Einstellungen für das Thema relevant: Netzwerksicherheit: Beschränken von NTLM: Ausgehender NTLM-Datenverkehr zu Remoteservern Nicht definiert Netzwerksicherheit: Beschränken von NTLM: Eingehenden NTLM-Datenverkehr überwachen Überwachung für alle Konten aktivieren Netzwerksicherheit: Beschränken von NTLM: Eingehender NTLM-Datenverkehr Nicht definiert Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne Nicht definiert Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne überwachen Alle aktivieren Netzwerksicherheit: Beschränken von NTLM: Remoteserverausnahmen für die NTLM-Authentifizierung hinzufügen Nicht definiert Netzwerksicherheit: Beschränken von NTLM: Serverausnahmen in dieser Domäne hinzufügen Nicht definiert Ich habe nun per GPO die Überwachung von NTLM aktiviert (siehe Liste oben). In der entsprechenden Log-Datei ist auch eindeutig zu sehen, dass sich meine Windows 7 Client bei der Anmeldung am Domain Controller oder auch beim Zugriff auf Netzwerkfreigaben per NTLM authentifizieren. Ich erhalte entsprechende Einträge im Log-File. Ich habe nun versucht über die oben genannten Richtlinien den NTLM-Datenverkehr am Server zu blocken. Das hat zur Folge, dass ich mich mit meinen Windows 7 Clients am Server nicht mehr anmelden kann. Meine Hoffnung war, dass diese automatisch eine Kerberos Authentifizierung versuchen würden. Soweit ich im Internet recherchiert habe, sollte ab Windows 2000 eine Anmeldung mit Kerberos möglich sein. Ich konnte bisher noch keine Möglichkeit durch Internet-Recherche finden, die Windows Clients (vermutlich per GPO) zu überreden sich anstatt mit NTLM mit Kerberos am Server zu authentifizieren. Habt ihr bei diesem Thema Erfahrung und könnt mir einen Hinweis geben? Danke und viele Grüße, ferraith Eine Anmerkung habe ich noch: Ich habe nun mit klist sowohl am Domain Controller als auch an einem der Clients mir die aktuell gültigen Tickets anzeigen lassen. Dort sind Tickets hinterlegt. Z.B.: Aktuelle Anmelde-ID ist 0:0x2fe80d Zwischengespeicherte Tickets: (3) #0> Client: Test.User @ EXAMPLE.DE Server: krbtgt/EXAMPLE.DE @ EXAMPLE.DE KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96 Ticketkennzeichen 0x60a10000 -> forwardable forwarded renewable pre_authent name_canonicalize Startzeit: 11/10/2013 20:58:32 (lokal) Endzeit: 11/11/2013 6:58:32 (lokal) Erneuerungszeit: 11/17/2013 20:58:32 (lokal) Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96 #1> Client: Test.User @ EXAMPLE.DE Server: krbtgt/EXAMPLE.DE @ EXAMPLE.DE KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96 Ticketkennzeichen 0x40e10000 -> forwardable renewable initial pre_authent name_canonicalize Startzeit: 11/10/2013 20:58:32 (lokal) Endzeit: 11/11/2013 6:58:32 (lokal) Erneuerungszeit: 11/17/2013 20:58:32 (lokal) Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96 #2> Client: Test.User @ EXAMPLE.DE Server: cifs/test-server-01.example.de @ EXAMPLE.DE KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96 Ticketkennzeichen 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize Startzeit: 11/10/2013 20:58:32 (lokal) Endzeit: 11/11/2013 6:58:32 (lokal) Erneuerungszeit: 11/17/2013 20:58:32 (lokal) Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96 Es scheint wohl doch mit Kerberos zumindest teilweise eine Authentifizierung stattzufinden. Mit setspn.exe erhalte ich am Client ebenfalls gesetzte SPNs: C:\Users\Test.User>setspn -L test-client-01 Registrierte Dienstprinzipalnamen (SPN) für CN=test-client-01,OU=Domain Clients,DC=example,DC=de: TERMSRV/TEST-CLIENT-01 TERMSRV/test-client-01.example.de RestrictedKrbHost/TEST-CLIENT-01 HOST/TEST-CLIENT-01 RestrictedKrbHost/TEST-CLIENT-01.example.de HOST/TEST-CLIENT-01.example.de So recht erklären kann ich mir immer noch nicht warum teilweise NTLM Authentifizierung verwendet wird. bearbeitet 10. November 2013 von ferraith Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 10. November 2013 Melden Teilen Geschrieben 10. November 2013 (bearbeitet) Schau Dir mal hier meinen Beitrag an: http://www.mcseboard.de/topic/194391-grundlagen-kerberosntlm-und-basic-authentifizierung/ Dort findest Du auch einen Link zum openbook Windows Server 2008 R2, in dem sehr detailliert beschrieben wird, wie Kerberos funktioniert. Vielleicht kommst Du so Deinem Problem auf die Schliche :) bearbeitet 10. November 2013 von iDiddi Zitieren Link zu diesem Kommentar
ferraith 0 Geschrieben 10. November 2013 Autor Melden Teilen Geschrieben 10. November 2013 (bearbeitet) Aus mir unerklärlichen Gründen klappt die Anmeldung sowohl an den Win XP als auch Win 7 Clients nun fehlerfrei, obwohl ich die NTLM-GPO-Regeln auf die schärfste Stufe eingestellt habe. Ich kann mich allerdings nicht erinnern etwas aktiv verändert zu haben. Ich habe das Monitoring noch aktiv und kann sehen, dass vereinzelt jemand versucht sich per NTLM zu authentifizieren, was allerdings (wie konfiguriert) richtigerweise geblockt wird. Nichts desto trotz scheinen alle Applikationen korrekt zu funktionieren. Die Meldung im Eventlog bezüglich LSA ist auch verwunden. Es waren zumindest ein paar sehr lehrreiche Stunden über das Thema Kerberos und deren Windows Implementierung :D bearbeitet 10. November 2013 von ferraith Zitieren Link zu diesem Kommentar
ferraith 0 Geschrieben 11. November 2013 Autor Melden Teilen Geschrieben 11. November 2013 Noch ein Nachtrag: Schlussendlich habe ich jetzt doch das Problem gefunden: Ich greife auf alle Rechner der Domäne von einem PC außerhalb der Domäne zu, der sich in einem anderen Subnetz aufhält. hierzu habe ich provisorisch im hosts file die DNS-Namen der PCs + IP-Adressen hinterlegt. Kerberos ist wie ich in einem deiner Artikel gelesen habe, auf eine korrekte DNS-Auflösung angewiesen. Diese klappt bei mir am Rechner natürlich nicht, weil ich auch nicht den DNS-Server der Domäne eingetragen habe. Ich dachte mir für meine Remote-Desktop-Verbindungen reicht eine einfache Lösung. Habe ich meinen Remote-Desktop-PC im Subnetz der Domäne und erhalte vom dortigen DHCP-Server eine IP-Konfiguration funktioniert die Kerberos Authentifizierung fehlerfrei. Bin ich allerdings in meinem eigenen Subnetz, scheitert die Anmeldung per Kerberos und er fällt auf NTLM zurück. Somit ist das Rätsel gelöst :p Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 11. November 2013 Melden Teilen Geschrieben 11. November 2013 Super, freut mich, dass Du das Rätsel lösen konntest. Und danke für die Rückmeldung :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.