phatair 39 Geschrieben 20. Juli 2023 Melden Teilen Geschrieben 20. Juli 2023 Hallo zusammen, da wir gerade das NTLM Auditing aktiviert haben und prüfen wo bei uns überall NTLM noch verwendet wird, ist uns aufgefallen, dass 90% der NTLM Anfragen an unseren Print Server gehen. Hier bin ich dann auf folgenden MS Artikel gestoßen https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/a-print-nightmare-artifact-krbtgt-nt-authority/ba-p/3757962 Es scheint massive Probleme geben zu können, wenn der damalige PrintNightmare Patch installiert wurde. Das führt unter anderem dazu, dass die Clients NTLM Anfragen an den Print Server schicken und das führt möglicherweise zu langsamen Druckaufträgen, DC Anmeldeproblemen usw. (sehr einfach zusammengefasst) In dem Artikel ist ein sehr aufwendiger Prozess beschrieben um zu prüfen ob man betroffen ist. In den Kommentaren ist eine einfachere Lösung zu finden. Das Logging auf dem Client aktivieren Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\LSA\Kerberos\Parameters" -Name LogLevel -Type DWORD -Value 1 -Force Dann ist im System EventLog die Security-Kerberos EventID 3 zu finden mit folgendem Inhalt Zitat A Kerberos error message was received: on logon session Client Time: Server Time: 11:2:33.0000 3/14/2023 Z Error Code: 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN Extended Error: Client Realm: Client Name: Server Realm: domain.com Server Name: krbtgt/NT Authority Target Name: krbtgt/NT email address removed for privacy reasons wenn ich nun vom Client drucke, sehe ich diese Einträge im EventLog. Die Lösung ist, ein Reg Key zu setzen (bei uns ging es auch ohne den Print Spooler restart). New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Printers\RPC" Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Printers\RPC" -Name RpcNamedPipeAuthentication -Type DWORD -Value 2 -Force Restart-Service Spooler Damit ist der Fehler im EventLog weg. Wir werden das nun auf allen Clients ausbringen und damit müsste ein großer Teil des NTLM Traffics entfallen und auch die möglichen Probleme beim drucken und der DC Anmeldung. Viele haben wahrscheinlich schon NTLM deaktiviert und kennen möglicherweise die Lösung/Problem schon, aber vielleicht hilft es ja noch jemanden. Quellen: https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/a-print-nightmare-artifact-krbtgt-nt-authority/ba-p/3757962 https://www.borncity.com/blog/2023/05/15/print-nightmare-nachwehen-bei-windows-domain-controllern-langsame-print-server-und-ausgebremste-dcs/ 1 Zitieren Link zu diesem Kommentar
daabm 1.348 Geschrieben 20. Juli 2023 Melden Teilen Geschrieben 20. Juli 2023 Wir drucken nicht über Windows-Server - puh, Glück gehabt, endlich auch mal was richtig gemacht 2 Zitieren Link zu diesem Kommentar
testperson 1.674 Geschrieben 20. Juli 2023 Melden Teilen Geschrieben 20. Juli 2023 vor 3 Stunden schrieb daabm: Wir drucken nicht - puh, Glück gehabt, endlich auch mal was richtig gemacht Habe das der Umwelt zu Liebe mal korrigiert. ;) <Insert Think before you print slogan here> 2 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.