Hallo!
Ich habe akuell eine Test-Domäne aufgebaut, die eine Mischung aus Clients auf Basis von Windows XP und Windows 7 enthält. Der Domain-Controller ist ein Windows 2012 Server Standard Edition. In meinem AD sind alle Client-PCs hinterlegt, Benutzer angelegt usw. Die Anmeldung klappt fehlerfrei. Ich erhalte allerdings in den Log-Files folgende Warning:
TEST-SERVER-01 6038 Warnung Microsoft-Windows-LSA System 10.11.2013 17:46:52
Von Microsoft Windows Server wurde festgestellt, dass momentan zwischen Clients und diesem Server die NTLM-Authentifizierung verwendet wird. Dieses Ereignis tritt einmal pro Serverstart auf, wenn NTLM von einem Client erstmalig für den Server verwendet wird.
NTLM ist ein relativ schwacher Authentifizierungsmechanismus. Prüfen Sie Folgendes:
Von welchen Anwendungen wird die NTLM-Authentifizierung verwendet?
Liegen Konfigurationsprobleme vor, die verhindern, dass ein stärkerer Authentifizierungsmechanismus (etwa Kerberos) verwendet wird?
Wenn NTLM unterstützt werden muss: Ist der erweiterte Schutz konfiguriert?
Ausführliche Informationen zum Ausführen dieser Überprüfungen finden Sie unter "http://go.microsoft.com/fwlink/?LinkId=225699".
In den GPOs sind folgende Einstellungen für das Thema relevant:
Netzwerksicherheit: Beschränken von NTLM: Ausgehender NTLM-Datenverkehr zu Remoteservern Nicht definiert
Netzwerksicherheit: Beschränken von NTLM: Eingehenden NTLM-Datenverkehr überwachen Überwachung für alle Konten aktivieren
Netzwerksicherheit: Beschränken von NTLM: Eingehender NTLM-Datenverkehr Nicht definiert
Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne Nicht definiert
Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne überwachen Alle aktivieren
Netzwerksicherheit: Beschränken von NTLM: Remoteserverausnahmen für die NTLM-Authentifizierung hinzufügen Nicht definiert
Netzwerksicherheit: Beschränken von NTLM: Serverausnahmen in dieser Domäne hinzufügen Nicht definiert
Ich habe nun per GPO die Überwachung von NTLM aktiviert (siehe Liste oben). In der entsprechenden Log-Datei ist auch eindeutig zu sehen, dass sich meine Windows 7 Client bei der Anmeldung am Domain Controller oder auch beim Zugriff auf Netzwerkfreigaben per NTLM authentifizieren. Ich erhalte entsprechende Einträge im Log-File.
Ich habe nun versucht über die oben genannten Richtlinien den NTLM-Datenverkehr am Server zu blocken. Das hat zur Folge, dass ich mich mit meinen Windows 7 Clients am Server nicht mehr anmelden kann. Meine Hoffnung war, dass diese automatisch eine Kerberos Authentifizierung versuchen würden. Soweit ich im Internet recherchiert habe, sollte ab Windows 2000 eine Anmeldung mit Kerberos möglich sein.
Ich konnte bisher noch keine Möglichkeit durch Internet-Recherche finden, die Windows Clients (vermutlich per GPO) zu überreden sich anstatt mit NTLM mit Kerberos am Server zu authentifizieren.
Habt ihr bei diesem Thema Erfahrung und könnt mir einen Hinweis geben?
Danke und viele Grüße,
ferraith
Eine Anmerkung habe ich noch:
Ich habe nun mit klist sowohl am Domain Controller als auch an einem der Clients mir die aktuell gültigen Tickets anzeigen lassen. Dort sind Tickets hinterlegt. Z.B.:
Es scheint wohl doch mit Kerberos zumindest teilweise eine Authentifizierung stattzufinden.
Mit setspn.exe erhalte ich am Client ebenfalls gesetzte SPNs:
So recht erklären kann ich mir immer noch nicht warum teilweise NTLM Authentifizierung verwendet wird.