Umi 10 Geschrieben 6. Februar 2015 Melden Teilen Geschrieben 6. Februar 2015 (bearbeitet) Hallo,ich bin einer NTLM Warnung 6038 (Lsass.exe) im Log des DC und des Exchange nachgegangen. Es handelt sich um eine Warnung, dass ein Client die schwache NTLM Authentifizierung statt Kerberos benutzt hat. Hierzu habe ich eine Überwachungsrichtlinie analog zu folgendem Beitrag erstellt: http://www.mcseboard.de/topic/195670-authentifizierung-per-kerberos-erzwingen-anstatt-ntlm/ Zunächst habe ich nur überwacht, jedoch dann den folgenden Punkt testweise aktiviert: Netzwerksicherheit: Beschränken von NTLM: Eingehender NTLM-Datenverkehr – Alle Konten verweigern Damit sollte Kerberos quasi erzwungen werden. Die Anmeldung der Clients funktionierte weiterhin, d.h. die Fehlermeldung wurde nicht von einem Client verursacht, sonder kam direkt von dem Server oder einem Dienst des Servers. Dabei entstanden die 2 folgenden Probleme: 1.) Als die Richtlinie aktiviert war musste ich feststellen, dass ich per Remotedesktop nicht mehr auf Clients und DC bei denen die Richtlinie aktiviert war zugreifen konnte Vorher funktionierte es. Fehler: Authentifizierungsfehler. Die lokale Sicherheitsautorität (LSA) ist nicht erreichbar Daher habe ich den Punkt auf „nicht definiert“ zurückgesetzt, sowie die komplette Richtlinie deaktiviert. Dies half aber nicht obwohl per GPUPDATE /FORCE auf Clients und DC aktualisiert wurde. Erst als ich den Punkt auf „Alle zulassen“ gesetzt habe war ein Zugriff per Remotedesktop wieder möglich. Wird der Punkt dann wieder auf "nicht definiert" gesetzt kommt es wieder zur obigen Fehlermeldung. Das würde doch heißen die Einstellung wird durch "nicht definiert" nicht auf der letzten Einstellung belassen? 2.) Zudem habe ich nun auch das Problem, dass ich alle Clients und den DC per PSSshutdown (IP Adresse) nicht mehr remote herunterfahre kann. Dabei wird das Herunterfahren vom Hyper V Host aus gesteuert, der wiederum nicht Mitglied der Domäne ist. Ich erhalte die Meldung: Couldn't access 192.xxx.xxx.xxx: access denied. Dabei ist der Punkt „Alle zulassen“ bereits aktiviert. Fragen 1. Soweit mir bekannt benötigt PSShutdown NTLM Authentifizierung, die aber nun explizit zugelassen ist oder nicht? 2. Wenn ich die Richtlinie, welche ich separat neben der default domain policy und DC default angelegt habe deaktiviere bzw. lösche und GPUPDATE ausführe bin ich davon ausgegangen, dass der Ursprungszustand wiederhergestellt wird. Es scheint aber, dass durch das einmalige aktivieren von „Alle Konten verweigern“ weitere (NTLM) Einstellungen geändert wurden, die immer noch zu einer Blockierung einzelner Teile des Systems führen. Bzw. ist ein Cache zu löschen? Oder liege ich falsch? 3. Wie lässt sich der Ursprungszustand wieder herbeiführen, sodass PSSShutdown wieder funktioniert und der Remotedesktop Zugriff ohne dass eingehender NTLM Verkehr explizit zugelassen wird? Für jeden Tip bin ich dankbar! Grüße bearbeitet 6. Februar 2015 von Umi Zitieren Link zu diesem Kommentar
daabm 1.184 Geschrieben 7. Februar 2015 Melden Teilen Geschrieben 7. Februar 2015 Das Problem bei PSShutdown dürfte sein, dass Du die IP-Adresse verwendest und dazu noch von einem Non-Domainmember. Bei IP-Adressen kann kein Kerberos verwendet werden (da kein SPN vorhanden), und bei domänenfremden Geräten geht ebenfalls nur NTLM, da der Computer schon keinen Secure Channel hat... Wegen "RDP tut nicht mehr": Von Domain Membern aus oder auch wieder von domänenfremden Geräten? Wenn zweiteres:Siehe oben. Wenn ersteres: Deshalb empfiehlt MS erst mal ein Assessment, bevor man blockiert - https://technet.microsoft.com/library/jj865670.aspx Und dass das Setting wieder verschwinden sollte, ist richtig - erklären kann ich das daher auch nicht. Ruf auf dem DC lokal mal "secpol.msc" auf - kannst Du da "alle erlauben" einstellen? Zitieren Link zu diesem Kommentar
Beste Lösung Umi 10 Geschrieben 7. Februar 2015 Autor Beste Lösung Melden Teilen Geschrieben 7. Februar 2015 Hallo Martin, danke für den TIP! Problem gelöst. Korrekt bei PSSshutdown ausgeführt vom NonDomainMember habe ich IP Adressen eingesetzt. RDP nutze ich von einem Client der DomainMember ist. Ich habe deinen TIP befolgt und auf dem DC die lokale Sicherheitsrichtlinie geprüft. Dort konnte ich "alle erlauben" zunächst nicht anwählen, da einige Punkte gesperrt waren. Ich habe dann die von mir erstellte Richtlinie deaktiviert und auf dem DC GPUPDATE /FORCE ausgeführt. Danach konnte ich die gesperrten Punkte ändern. Anhand von folgendem Link https://technet.microsoft.com/en-us/library/jj852167(v=ws.10).aspx konnte ich die Standardeinstellungen bei Auswahl von "nicht definiert" in der Gruppenrichtlinie den Sicherheitseinstellungen zuordnen und habe die Sicherheitseinstellungen "manuell" auf dem DC und dem Exchange geändert. Abschließend auf DC, Exchange und Clients GPUPDATE /FORCE durchgeführt. RDP sowie PSSShutdown funktionieren nun wieder wie gehabt. Problem gelöst. Grüße! Zitieren Link zu diesem Kommentar
daabm 1.184 Geschrieben 8. Februar 2015 Melden Teilen Geschrieben 8. Februar 2015 Prima - danke für die Rückmeldung! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.