Umgebung:
- Windows 2000 sp4 EDIT: Domänencontroller ohne Vertrauensstellung mit dem Win2008-Server
- Windows XP-Computer
- Windows 2008 Server
- Netapp NAS
Problem:
Wir haben einen freigegebenen Ordner, der sich auf einem NAS befindet und Windows 2008 AD für die Authentifizierung mit den richtigen Berechtigungseinstellungen verwendet. Wenn der Windows 2000-Computer versucht, die auf dem Win2008-Computer befindliche Freigabe zu öffnen, werden Sie zur Eingabe eines Benutzernamens und eines Kennworts aufgefordert. Bei der Eingabe der Anmeldeinformationen werden ständig neue Anmeldeinformationen abgefragt.
Wichtige Details:
Der Windows 2000-Computer kann sowohl die XP-Computer als auch den Windows 2008-Server anpingen
Der Windows 2008-Computer darf nur NTLMv2 verwenden
Der Windows 2000-Computer war ursprünglich auf NTLM eingestellt, wurde jedoch kürzlich umgeschaltet, NTLMv2 if negotiated
um eine Verbindung zur Freigabe herzustellen.
Ich bin mir sicher, dass wir Windows 2000 aufgrund vertraglicher Verpflichtungen verwenden werden
Fragen:
Warum schlägt die Kennwortauthentifizierung in diesem Fall fehl?
Nachdem wir ein Gruppenrichtlinienobjekt für den Win2000-Computer für die Verwendung von NTLMv2 festgelegt hatten, haben wir SECEDIT verwendet, um die Gruppenrichtlinienobjekte ohne Neustart zu aktualisieren. Weiß jemand, ob dies ausreicht oder ob ein Neustart erforderlich ist?
AKTUALISIEREN
Wir haben beide Domänencontroller 2008 auf einen Fehlercode überprüft. Wir bekamen:
Microsoft_Auth_Package_V1_0
0xc000006a
Event ID: 4776
Ich weiß, dass dies ein Authentifizierungsfehler über DIESEN Artikel ist
"Der als aktuelles Passwort angegebene Wert ist nicht korrekt."
Wir wissen, dass dieses Kennwort korrekt ist, aber da diese beiden Domänen (Win2000 und Win2008) keine Vertrauensstellung haben, welches Authentifizierungskonto muss verwendet werden? Eine, die sich in der von Win2000 gehosteten Domäne befindet?
Update 2
Ich habe einige Nachforschungen über NTLMv2 und die Einstellungen angestellt, die erforderlich sind, da das Ganze if negotiated
mich erreicht hat. Ich bin auf folgende Informationen gestoßen: aus folgender Quelle:
Meine Frage ist also immer noch die if negotiated
und was ist die wahre Bedeutung im session security
Umgang mit NTLMv2? Meiner Meinung nach sind Sitzungssicherheit die Schlüsselwörter hier.
Unser 2008-Server ist auf Stufe 5 eingestellt. Unser 2000-Server ist auf Stufe 1 eingestellt
Der 2000-Server kann unter keinen Umständen von Stufe 1 geändert werden, da dies leider die Authentifizierung für viele ältere Geräte unterbrechen würde. Für mich klingt es so, als ob sich das Problem auf Ebene 3 befindet, wo die Sitzung NTLM passiert.
Ich fühle mich fast da, aber es fällt mir schwer, es zu verarbeiten.
Security
Eventlog an beiden Enden dazu?Antworten:
Der Schlüssel hier ist zu verstehen, was Microsoft bedeutet, wenn "NTLMv2-Sitzungssicherheit bei Aushandlung" angegeben wird.
Wenn Sie nur die Einstellung überfliegen, lautet sie wie folgt: "Verwenden Sie NTLMv2, wenn Sie können", aber das bedeutet das überhaupt nicht.
Im Wesentlichen bedeutet dies "Verwenden Sie NTLMv1, und wenn Sie können, verwenden Sie diese NTLMv2-Komponente -" Sitzungssicherheit "genannt". Sitzungssicherheit ist eine Funktion, die mit NTLMv2 eingeführt wurde, wie in dem Artikel beschrieben, den Sie mit - http: // technet verlinkt haben .microsoft.com / de-de / magazine / 2006.08.securitywatch.aspx
Während Ihre Verbindung durch die Verwendung der Sitzungssicherheit sicherer wird, ist der von Ihnen gesendete Hash letztendlich ein NTLMv1-Hash. Und wie aus der von Ihnen veröffentlichten Tabelle hervorgeht, wird NTLMv2 nicht gesendet.
Was bedeutet das? Dies bedeutet, dass das Gruppenrichtlinienobjekt, das Sie auf Ihrem 2000-Server festgelegt haben, auf "NTLMv1 senden" und das Gruppenrichtlinienobjekt auf Ihrem Windows 2008-Server auf "Nur NTLMv2 akzeptieren" festgelegt ist. Ihre Lösung besteht darin, Ihre Gruppenrichtlinienobjekte auf beiden Feldern zu ändern. Die bevorzugte Methode besteht wahrscheinlich darin, die Sicherheitsstufe des 2k-Servers zu aktualisieren, um NTLMv2 zu unterstützen. Wenn die Konnektivität wie erwähnt unterbrochen wird, besteht die einzige Alternative darin, das Gruppenrichtlinienobjekt des Servers 2008 so zu ändern, dass NTLMv1 zulässig ist
quelle