ferraith

Noch ein Nachtrag: Schlussendlich habe ich jetzt doch das Problem gefunden: Ich greife auf alle Rechner der Domäne von einem PC außerhalb der Domäne zu, der sich in einem anderen Subnetz aufhält. hierzu habe ich provisorisch im hosts file die DNS-Namen der PCs + IP-Adressen hinterlegt. Kerberos ist wie ich in einem deiner Artikel gelesen habe, auf eine korrekte DNS-Auflösung angewiesen. Diese klappt bei mir am Rechner natürlich nicht, weil ich auch nicht den DNS-Server der Domäne eingetragen habe. Ich dachte mir für meine Remote-Desktop-Verbindungen reicht eine einfache Lösung. Habe ich meinen Remote-Desktop-PC im Subnetz der Domäne und erhalte vom dortigen DHCP-Server eine IP-Konfiguration funktioniert die Kerberos Authentifizierung fehlerfrei. Bin ich allerdings in meinem eigenen Subnetz, scheitert die Anmeldung per Kerberos und er fällt auf NTLM zurück. Somit ist das Rätsel gelöst :p

Aus mir unerklärlichen Gründen klappt die Anmeldung sowohl an den Win XP als auch Win 7 Clients nun fehlerfrei, obwohl ich die NTLM-GPO-Regeln auf die schärfste Stufe eingestellt habe. Ich kann mich allerdings nicht erinnern etwas aktiv verändert zu haben. Ich habe das Monitoring noch aktiv und kann sehen, dass vereinzelt jemand versucht sich per NTLM zu authentifizieren, was allerdings (wie konfiguriert) richtigerweise geblockt wird. Nichts desto trotz scheinen alle Applikationen korrekt zu funktionieren. Die Meldung im Eventlog bezüglich LSA ist auch verwunden. Es waren zumindest ein paar sehr lehrreiche Stunden über das Thema Kerberos und deren Windows Implementierung :D

Hallo! Ich habe akuell eine Test-Domäne aufgebaut, die eine Mischung aus Clients auf Basis von Windows XP und Windows 7 enthält. Der Domain-Controller ist ein Windows 2012 Server Standard Edition. In meinem AD sind alle Client-PCs hinterlegt, Benutzer angelegt usw. Die Anmeldung klappt fehlerfrei. Ich erhalte allerdings in den Log-Files folgende Warning: TEST-SERVER-01 6038 Warnung Microsoft-Windows-LSA System 10.11.2013 17:46:52 Von Microsoft Windows Server wurde festgestellt, dass momentan zwischen Clients und diesem Server die NTLM-Authentifizierung verwendet wird. Dieses Ereignis tritt einmal pro Serverstart auf, wenn NTLM von einem Client erstmalig für den Server verwendet wird. NTLM ist ein relativ schwacher Authentifizierungsmechanismus. Prüfen Sie Folgendes: Von welchen Anwendungen wird die NTLM-Authentifizierung verwendet? Liegen Konfigurationsprobleme vor, die verhindern, dass ein stärkerer Authentifizierungsmechanismus (etwa Kerberos) verwendet wird? Wenn NTLM unterstützt werden muss: Ist der erweiterte Schutz konfiguriert? Ausführliche Informationen zum Ausführen dieser Überprüfungen finden Sie unter "http://go.microsoft.com/fwlink/?LinkId=225699". In den GPOs sind folgende Einstellungen für das Thema relevant: Netzwerksicherheit: Beschränken von NTLM: Ausgehender NTLM-Datenverkehr zu Remoteservern Nicht definiert Netzwerksicherheit: Beschränken von NTLM: Eingehenden NTLM-Datenverkehr überwachen Überwachung für alle Konten aktivieren Netzwerksicherheit: Beschränken von NTLM: Eingehender NTLM-Datenverkehr Nicht definiert Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne Nicht definiert Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne überwachen Alle aktivieren Netzwerksicherheit: Beschränken von NTLM: Remoteserverausnahmen für die NTLM-Authentifizierung hinzufügen Nicht definiert Netzwerksicherheit: Beschränken von NTLM: Serverausnahmen in dieser Domäne hinzufügen Nicht definiert Ich habe nun per GPO die Überwachung von NTLM aktiviert (siehe Liste oben). In der entsprechenden Log-Datei ist auch eindeutig zu sehen, dass sich meine Windows 7 Client bei der Anmeldung am Domain Controller oder auch beim Zugriff auf Netzwerkfreigaben per NTLM authentifizieren. Ich erhalte entsprechende Einträge im Log-File. Ich habe nun versucht über die oben genannten Richtlinien den NTLM-Datenverkehr am Server zu blocken. Das hat zur Folge, dass ich mich mit meinen Windows 7 Clients am Server nicht mehr anmelden kann. Meine Hoffnung war, dass diese automatisch eine Kerberos Authentifizierung versuchen würden. Soweit ich im Internet recherchiert habe, sollte ab Windows 2000 eine Anmeldung mit Kerberos möglich sein. Ich konnte bisher noch keine Möglichkeit durch Internet-Recherche finden, die Windows Clients (vermutlich per GPO) zu überreden sich anstatt mit NTLM mit Kerberos am Server zu authentifizieren. Habt ihr bei diesem Thema Erfahrung und könnt mir einen Hinweis geben? Danke und viele Grüße, ferraith Eine Anmerkung habe ich noch: Ich habe nun mit klist sowohl am Domain Controller als auch an einem der Clients mir die aktuell gültigen Tickets anzeigen lassen. Dort sind Tickets hinterlegt. Z.B.: Es scheint wohl doch mit Kerberos zumindest teilweise eine Authentifizierung stattzufinden. Mit setspn.exe erhalte ich am Client ebenfalls gesetzte SPNs: So recht erklären kann ich mir immer noch nicht warum teilweise NTLM Authentifizierung verwendet wird.

Es handelt sich um die Dell Data Protection inkl. Sub-Tools. Dieser voinstallierte Mist hängt sich an die Userinit dran und lässt sich trotz Deinstallationsroutine nicht vollständig entfernen. DELL weiß hierzu auch keinen Rat, sie empfehlen die Verwendung ihrer Tools... Ich werde die betroffenen Clients nun neu installieren.

Danke für deinen Hinweis eine strukturierte Fehleranalyse vorzunehmen. Mittlerweile habe ich herausgefunden, dass es kein Problem der Domäne ist sondern dass auch lokale Benutzer sich nicht korrekt anmelden können. Vermutlich liegt das an den von Dell vorinstallierten Security-Tools dich ich bereits entfernt habe. Nun muss ich mich auf die Suche welche Komponente bzw. welche Rückstände den Fehler zu verantworten haben.

Hallo! Ich arbeite seit einigen Tagen an dem Aufbau einer AD auf Basis von Windows 2012 Server. Mittlerweile habe ich ein laufende Domain erstellt, Clients und User hinzugefügt, servergespeicherte Profile konfiguriert und die Einstellungen alles per GPOs verteilt. Bei einem Problem hänge ich allerdings: Unabhängig davon ob ein Domänenbenutzer ein Roaming-Profile hat oder nicht, wird dieser am Client sobald er sich einloggt sofort wieder abgemeldet. Ich konnte das Problem soweit eingrenzen, dass die Ursache wohl an einer Berechtigung am Client scheitert. Wenn ich den Domänenbenutzern lokale Adminrechte erteile (Domänen-Benutzer werden per GPO in die lokale Administratoren-Gruppe am Client eingetragen), klappt die Anmeldung am Client fehlerfrei. Entziehe ich das Recht wieder habe ich den gleichen Fehler wie zuvor. Das Problem tritt auch bei Usern ohne Roaming-Profiles auf. Aktuell habe ich die Vermutung, dass den Benutzer das Recht fehlt im Ordner C:\Users ein neues Profil anzulegen. Händisch das Recht auf den C:\Users Ordner erteilen habe ich versucht aber wieder zurückgenommen (ohne Erfolg). Ich vermute dass ist auch die nicht eigentliche Lösung des Problems. Müssen die Benutzer teil einer Gruppe sein oder eventuell noch ein Recht per GPO erteilt bekommen um das Problem zu lösen? Im Voraus danke für eure Hilfe! Grüße, ferraith