Jump to content

GPO NTLM Kerberos Server 2012 R2 - Remotedesktop / PSSShutdown


Direkt zur Lösung Gelöst von Umi,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,
ich bin einer NTLM Warnung 6038 (Lsass.exe) im Log des DC und des Exchange nachgegangen. Es handelt sich um eine Warnung, dass ein Client die schwache NTLM Authentifizierung statt Kerberos benutzt hat.

Hierzu habe ich eine Überwachungsrichtlinie analog zu folgendem Beitrag erstellt:

http://www.mcseboard.de/topic/195670-authentifizierung-per-kerberos-erzwingen-anstatt-ntlm/

 

Zunächst habe ich nur überwacht, jedoch dann den folgenden Punkt testweise aktiviert:

 

Netzwerksicherheit: Beschränken von NTLM: Eingehender NTLM-Datenverkehr – Alle Konten verweigern

 

Damit sollte Kerberos quasi erzwungen werden. Die Anmeldung der Clients funktionierte weiterhin, d.h. die Fehlermeldung wurde nicht von einem Client verursacht, sonder kam direkt von dem Server oder einem Dienst des Servers.

 

Dabei entstanden die 2 folgenden Probleme:

1.) Als die Richtlinie aktiviert war musste ich feststellen, dass ich per Remotedesktop nicht mehr auf Clients und DC bei denen die Richtlinie aktiviert war zugreifen konnte Vorher funktionierte es.  

Fehler: Authentifizierungsfehler. Die lokale Sicherheitsautorität (LSA) ist nicht erreichbar

 

Daher habe ich den Punkt auf „nicht definiert“ zurückgesetzt, sowie die komplette Richtlinie deaktiviert. Dies half aber nicht obwohl per GPUPDATE /FORCE auf Clients und DC aktualisiert wurde.

Erst als ich den Punkt auf „Alle zulassen“ gesetzt habe war ein Zugriff per Remotedesktop wieder möglich. Wird der Punkt dann wieder auf "nicht definiert" gesetzt kommt es wieder zur obigen Fehlermeldung. Das würde doch heißen die Einstellung wird durch "nicht definiert" nicht auf der letzten Einstellung belassen?

 

2.) Zudem habe ich nun auch das Problem, dass ich alle Clients und den DC per PSSshutdown (IP Adresse) nicht mehr remote herunterfahre kann. Dabei wird das Herunterfahren vom Hyper V Host aus gesteuert, der wiederum nicht Mitglied der Domäne ist. Ich erhalte die Meldung: Couldn't access 192.xxx.xxx.xxx: access denied. Dabei ist der Punkt „Alle zulassen“ bereits aktiviert. 

 

Fragen

1.       Soweit mir bekannt benötigt PSShutdown NTLM Authentifizierung, die aber nun explizit zugelassen ist oder nicht?

2.       Wenn ich die Richtlinie, welche ich separat neben der default domain policy und DC default angelegt habe deaktiviere bzw. lösche und GPUPDATE ausführe bin ich davon ausgegangen, dass der Ursprungszustand wiederhergestellt wird. Es scheint aber,  dass durch das einmalige aktivieren von „Alle Konten verweigern“ weitere (NTLM) Einstellungen geändert wurden, die immer noch zu einer Blockierung einzelner Teile des Systems führen. Bzw. ist ein Cache zu löschen? Oder liege ich falsch?

3.       Wie lässt sich der Ursprungszustand wieder herbeiführen, sodass PSSShutdown wieder funktioniert und der Remotedesktop Zugriff ohne dass eingehender NTLM Verkehr explizit zugelassen wird?

 

Für jeden Tip bin ich dankbar!

Grüße

bearbeitet von Umi
Link zu diesem Kommentar

Das Problem bei PSShutdown dürfte sein, dass Du die IP-Adresse verwendest und dazu noch von einem Non-Domainmember. Bei IP-Adressen kann kein Kerberos verwendet werden (da kein SPN vorhanden), und bei domänenfremden Geräten geht ebenfalls nur NTLM, da der Computer schon keinen Secure Channel hat...

 

Wegen "RDP tut nicht mehr": Von Domain Membern aus oder auch wieder von domänenfremden Geräten? Wenn zweiteres:Siehe oben. Wenn ersteres: Deshalb empfiehlt MS erst mal ein Assessment, bevor man blockiert - https://technet.microsoft.com/library/jj865670.aspx

 

Und dass das Setting wieder verschwinden sollte, ist richtig - erklären kann ich das daher auch nicht. Ruf auf dem DC lokal mal "secpol.msc" auf - kannst Du da "alle erlauben" einstellen?

Link zu diesem Kommentar
  • Beste Lösung

Hallo Martin,

danke für den TIP! Problem gelöst.

 

Korrekt bei PSSshutdown ausgeführt vom NonDomainMember habe ich IP Adressen eingesetzt.

RDP nutze ich von einem Client der DomainMember ist.

 

Ich habe deinen TIP befolgt und auf dem DC die lokale Sicherheitsrichtlinie geprüft. Dort konnte ich "alle erlauben" zunächst nicht anwählen, da einige Punkte gesperrt waren. Ich habe dann die von mir erstellte Richtlinie deaktiviert und auf dem DC GPUPDATE /FORCE ausgeführt. Danach konnte ich die gesperrten Punkte ändern.

 

Anhand von folgendem Link https://technet.microsoft.com/en-us/library/jj852167(v=ws.10).aspx konnte ich die Standardeinstellungen bei Auswahl von "nicht definiert" in der Gruppenrichtlinie den Sicherheitseinstellungen zuordnen und habe die Sicherheitseinstellungen "manuell"  auf dem DC und dem Exchange geändert.

Abschließend auf DC, Exchange und Clients GPUPDATE /FORCE durchgeführt. RDP sowie PSSShutdown funktionieren nun wieder wie gehabt.

 

Problem gelöst. 

Grüße!

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...