Garant 3 Geschrieben 14. Januar 2022 Melden Teilen Geschrieben 14. Januar 2022 Hallo, heute ist Tag der Fragen. :) Im Zuge eines anderen Problems ist mir aufgefallen, dass wir (aus der Vergangenheit?) in der "Default Domain Policy" die folgende Konfiguration verteilen. Meine Frage ist, dass ist doch nicht mehr aktuell und sollte durch die Einstellung Nur NTLMv2-Antworten senden, LM & NTLM verweigern ersetzt werden oder wie handhabt Ihr das in euren Umgebungen? Bis auf einen NetServer auf mehreren System i5-Systemen verfügen wir nur über Windows Server 2012 und höher sowie Windows 10. Grüße Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 14. Januar 2022 Melden Teilen Geschrieben 14. Januar 2022 Ja, sollte man definitiv auf NTLM2 erzwingen setzen. Was dann hinten runterfällt, wird man ggf. entweder gesondert behandeln oder endlich aussortieren. :) 1 Zitieren Link zu diesem Kommentar
daabm 1.348 Geschrieben 15. Januar 2022 Melden Teilen Geschrieben 15. Januar 2022 Vielleicht sollte man auch das NTLM-Auditing aktivieren, anschauen was da noch so kommt, abstellen und dann auch NTLM abstellen... Wenn man keine MS-Cluster betreibt, klappt das sogar (Kein Spaß - wir versuchen das grad, und das einzige, was uns die Suppe versalzt, sind Windows-Cluster und SCVMM...) Zitieren Link zu diesem Kommentar
Garant 3 Geschrieben 17. Januar 2022 Autor Melden Teilen Geschrieben 17. Januar 2022 Am 15.1.2022 um 17:25 schrieb daabm: Vielleicht sollte man auch das NTLM-Auditing aktivieren, anschauen was da noch so kommt, abstellen und dann auch NTLM abstellen... Wenn man keine MS-Cluster betreibt, klappt das sogar (Kein Spaß - wir versuchen das grad, und das einzige, was uns die Suppe versalzt, sind Windows-Cluster und SCVMM...) Gute Idee, soweit ich in den Docs gefunden habe, gibt es drei Richtlinien? Network security: Restrict NTLM: Audit Incoming NTLM Traffic Network security: Restrict NTLM: Audit NTLM authentication in this domain Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers Die Erste für Domain Controller (verteilen via Default Domain Controller Policy?) und die anderen beiden für die restlichen Systeme. Aber was heißt das? Nur Server oder auch Clients - vmtl. nur Ersteres, oder? Zitieren Link zu diesem Kommentar
cj_berlin 1.306 Geschrieben 17. Januar 2022 Melden Teilen Geschrieben 17. Januar 2022 vor 34 Minuten schrieb Garant: ... für die restlichen Systeme. Aber was heißt das? Nur Server oder auch Clients - vmtl. nur Ersteres, oder? Kommt darauf an, was Dein Endziel ist. Ich würde schon wissen wollen, zu wem sich meine Clients so per NTLM authentifizieren bzw. versuchen zu authentifizieren. Zitieren Link zu diesem Kommentar
Garant 3 Geschrieben 28. Januar 2022 Autor Melden Teilen Geschrieben 28. Januar 2022 Hi, ich hatte am gestrigen Donnerstag die Konfiguration einmal gesetzt. Nur NTLMv2-Antworten senden, LM & NTLM verweigern in der Default Domain Policy. Leider hatte das dann den Effekt, dass sich auf einen Schlag alle Konten der Benutzer gesperrt haben. Habe ich etwas übersehen? Oder den Eintrag an falscher Stelle konfiguriert? Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 28. Januar 2022 Melden Teilen Geschrieben 28. Januar 2022 vor 15 Minuten schrieb Garant: Leider hatte das dann den Effekt, dass sich auf einen Schlag alle Konten der Benutzer gesperrt haben. Hätte man das Logging aktiviert, wüßte man jetzt mehr :) Zitieren Link zu diesem Kommentar
daabm 1.348 Geschrieben 28. Januar 2022 Melden Teilen Geschrieben 28. Januar 2022 Jepp. Man wüßte dann, warum und von wo sich die User gesperrt haben Zitieren Link zu diesem Kommentar
Garant 3 Geschrieben 30. Januar 2022 Autor Melden Teilen Geschrieben 30. Januar 2022 Das ist korrekt. Allerdings muss ich sagen, dass sich wirklich alle angemeldeten Benutzerkonten gesperrt haben auf einen Schlag. Wir haben eine Skript laufen, welches uns via E-Mail informiert, wenn ein Anwender zu oft das falsche Kennwort eingegeben hat und daraus resultierend gesperrt wird (fragt einfach ein Event ab). Nach der o.g. Konfiguration kamen innerhalb von Minuten die E-Mails auf einen Schlag und die Accounts waren zu. Ich werde wohl das Logging aktivieren müssen - kann/darf ich dies in einer sep. GPO machen, die ich auf Testkandidaten linke? Und darf innerhalb der GPO auch die o.g. Konfiguration gesetzt werden? Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 30. Januar 2022 Melden Teilen Geschrieben 30. Januar 2022 Moin, Du kannst das nicht in einer Testumgebung ausprobieren? Gruß, Nils Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 30. Januar 2022 Melden Teilen Geschrieben 30. Januar 2022 Hat er doch. :) 2 2 Zitieren Link zu diesem Kommentar
Garant 3 Geschrieben 31. Januar 2022 Autor Melden Teilen Geschrieben 31. Januar 2022 vor 18 Stunden schrieb NilsK: Moin, Du kannst das nicht in einer Testumgebung ausprobieren? Gruß, Nils Leider nicht. :-D Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 31. Januar 2022 Melden Teilen Geschrieben 31. Januar 2022 Moin, verstehe, das sind ja bestimmt auch zwei Stunden Zeit, eine Testumgebung mit VMs aufzubauen. Dann wird dir wohl nichts übrig bleiben, als weiter auf eine Produktionsumgebung zu verzichten, wenn du die vorhandene zum Testsystem umfunktionieren musst. </ sarcasm> Dann formuliere ich mal positiv: Wie du jetzt durch das Lahmlegen erfahren hast, ist es sinnvoll, Änderungen dieser Art in einer unkritischen Testumgebung durchzuspielen. Da wir aus deinen Schilderungen auch nicht jedes Detail aus der Ferne einschätzen können, wird dir das mehr Handlungssicherheit geben. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.