2K8 - Authentifizierung umstellen NTML anstelle von Kerberos Windows Server 2008

[pep]

Hallo Leute,

ich habe eurer Forum über microsoft.de gefunden. Ich hoffe mir kann geholfen werden.

Um einen Windows 2008 Server in eine NT Domäne zu bekommen, muss ich die Authentifizierung umstellen.

Nur wo und wie mache ich das?

Kann mir jemand helfen?

[Gulp]

Auch hallo ...

Das stellst Du genau da ein, wo man es auch unter 2000/XP/Vista findet:

Man starte secpol.msc über "Ausführen" oder die Suchleiste --> Lokale Richtlinien --> Sicherheitsoptionen --> Netzwerksicherheit LAN Manager Authentifizierung auf die Einstellung "LM- und NTLM-Antworten senden (NTLMv2-Sitzungssicherheit verwenden, wenn ausgehandelt)" setzen --> cmd.exe ausführen und gpupdate /force ausführen oder neu starten.

Damit sollte der Zugriff auf NT schon funktionieren, wenn doch nicht, dann die Einstellung "LM- und NTLM-Antworten senden" verwenden.


Mit Kerberos direkt hat dies aber nichts zu tun, hier ist lediglich entscheidend, dass in Vista/2008 die Voreinstellung für die SMB Authentifizierung sozusagen auf "NTLMv2 only" steht und NT kein NTLMv2 kennt.

Grüsse

Gulp

[NorbertFe]

Zitat von Gulp und NT kein NTLMv2 kennt.

Das stimmt nicht.
How to enable NTLM 2 authentication

NTLM 2 has been available for Windows NT 4.0 since Service Pack 4 (SP4) was released

Und ich gehe mal nicht davon aus, dass es heute immer noch NT 4 Umgebungen ohne SP6a gibt. NT 4 mit SP6a ist schon schlimm genug. Ich tippe eher darauf, dass W2k8 per default SMB Signing aktiviert hat und deswegen kein Zugriff funktioniert.

Bye
Norbert

[Gulp]

Gut, ich präzisiere NT bis SP4 .... (ich hatte gerade meine letzte NT Installation in ner VM verlegt, um die zu suchen müsste ich den Kleinen wecken, da verzicht ich aber mal drauf )

Aber egal, auch mit zB mit einem 2003 Server steht die lokale Richtlinie, wenn ich (wie Sam Hawkins zu sagen pflegte) mich nicht irre, standardmässig auf "LM und NTLM Antworten senden" und bei Vista (meines Wissens auch bei 2008) eben auf NTLMv2. Hier ist erstmal egal wie das SMB Signing eingestellt ist, Du wirst bis auf eine dauernd wiederkehrende Passwortabfrage keinen Zugriff von XP auf Vista (und bei gleicher Einstellung auch bei 2008) erreichen, das habe ich dutzendmale durchgekaut.

Dass auch das SMB Signing zueinander passen sollte, ich denke da sind wir uns einig.

Grüsse

Gulp

[NorbertFe]

Zitat von Gulp Aber egal, auch mit zB mit einem 2003 Server steht die lokale Richtlinie, wenn ich (wie Sam Hawkins zu sagen pflegte) mich nicht irre, standardmässig auf "LM und NTLM Antworten senden" und bei Vista (meines Wissens auch bei 2008) eben auf NTLMv2.

Kann schon sein, bin grad zu faul zum Nachschauen. Allerdings würde ich eher NT NTLMv2 beibringen

Dass auch das SMB Signing zueinander passen sollte, ich denke da sind wir uns einig.

Jupp. Na denn...

Bye
Norbert

[pep]

vielen dank für die doch schon recht kompetenten Antworten. Ich werde es am Montag gleich mal testen.

Noch ein kleine Frage off Topic zur Lizenzierung:

Benötige ich wirklich für jeden User im AD eine eigene Lizenz (CAL)?

[XP-Fan]

Hallo pep,

Zitat von pep Noch ein kleine Frage off Topic zur Lizenzierung: Benötige ich wirklich für jeden User im AD eine eigene Lizenz (CAL)?

stelle diese Frage mal mit allen Angaben zur Umgebung im Bereich Lizenzen.

So pauschal lässt sich diese Frage nicht beantworten.

[pep]

hallo Leute,

ich habe die Richtlinie entsprechend geändert. Leider werden meine Zugangsdaten immer noch als Falsch zurückgewiesen.

NT ist leider nur SP6.

An dem Server will ich auch (vorerst) nix ändern.

[Gulp]

Dann scheint das SMB Signing nicht zu passen:

Im folgenden Artikel wird erklärt, wie man das in NT einstellt:

Overview of Server Message Block signing

oder auch hier (auch wenn sich die Reihenfolge anders im Titel anhört):

How to enable Windows 98/ME/NT clients to logon to Windows 2003 based Domains

Grüsse

Gulp

[pep]

ok vielen dank.

Es hat jetzt vielleicht nicht mehr viel mit dem Ursprungsthema zu tun, interessieren würde es mich aber mal:

Ist es möglich, die NT Domäne in eine WIndows 2008 Domäne zu überführen?