Kennwortauthentifizierung schlägt fehl - NTLMv2

7

Umgebung:

  • Windows 2000 sp4 EDIT: Domänencontroller ohne Vertrauensstellung mit dem Win2008-Server
  • Windows XP-Computer
  • Windows 2008 Server
  • Netapp NAS

Problem:

Wir haben einen freigegebenen Ordner, der sich auf einem NAS befindet und Windows 2008 AD für die Authentifizierung mit den richtigen Berechtigungseinstellungen verwendet. Wenn der Windows 2000-Computer versucht, die auf dem Win2008-Computer befindliche Freigabe zu öffnen, werden Sie zur Eingabe eines Benutzernamens und eines Kennworts aufgefordert. Bei der Eingabe der Anmeldeinformationen werden ständig neue Anmeldeinformationen abgefragt.

Wichtige Details:

Der Windows 2000-Computer kann sowohl die XP-Computer als auch den Windows 2008-Server anpingen

Der Windows 2008-Computer darf nur NTLMv2 verwenden

Der Windows 2000-Computer war ursprünglich auf NTLM eingestellt, wurde jedoch kürzlich umgeschaltet, NTLMv2 if negotiatedum eine Verbindung zur Freigabe herzustellen.

Ich bin mir sicher, dass wir Windows 2000 aufgrund vertraglicher Verpflichtungen verwenden werden

Fragen:

Warum schlägt die Kennwortauthentifizierung in diesem Fall fehl?

Nachdem wir ein Gruppenrichtlinienobjekt für den Win2000-Computer für die Verwendung von NTLMv2 festgelegt hatten, haben wir SECEDIT verwendet, um die Gruppenrichtlinienobjekte ohne Neustart zu aktualisieren. Weiß jemand, ob dies ausreicht oder ob ein Neustart erforderlich ist?


AKTUALISIEREN

Wir haben beide Domänencontroller 2008 auf einen Fehlercode überprüft. Wir bekamen:

Microsoft_Auth_Package_V1_0
0xc000006a
Event ID: 4776

Ich weiß, dass dies ein Authentifizierungsfehler über DIESEN Artikel ist

"Der als aktuelles Passwort angegebene Wert ist nicht korrekt."

Wir wissen, dass dieses Kennwort korrekt ist, aber da diese beiden Domänen (Win2000 und Win2008) keine Vertrauensstellung haben, welches Authentifizierungskonto muss verwendet werden? Eine, die sich in der von Win2000 gehosteten Domäne befindet?


Update 2

Ich habe einige Nachforschungen über NTLMv2 und die Einstellungen angestellt, die erforderlich sind, da das Ganze if negotiatedmich erreicht hat. Ich bin auf folgende Informationen gestoßen: aus folgender Quelle:

Client-Seite Serverseite

Meine Frage ist also immer noch die if negotiatedund was ist die wahre Bedeutung im session securityUmgang mit NTLMv2? Meiner Meinung nach sind Sitzungssicherheit die Schlüsselwörter hier.

Unser 2008-Server ist auf Stufe 5 eingestellt. Unser 2000-Server ist auf Stufe 1 eingestellt

Der 2000-Server kann unter keinen Umständen von Stufe 1 geändert werden, da dies leider die Authentifizierung für viele ältere Geräte unterbrechen würde. Für mich klingt es so, als ob sich das Problem auf Ebene 3 befindet, wo die Sitzung NTLM passiert.

Fluss von NTLM Bildnachweis: richardkok

Ich fühle mich fast da, aber es fällt mir schwer, es zu verarbeiten.

JMeterX
quelle
Was sagt das SecurityEventlog an beiden Enden dazu?
Ansgar Wiechers
Aktualisierte Frage
JMeterX
Mein erster Gedanke ist, haben Sie Ihr Tastaturlayout auf Ihrem W2k-Computer überprüft? Versuchen Sie, das Passwort in das Feld Benutzername einzugeben. Wenn Ihr Windows 2008-Computer die Authentifizierung durchführt, sollten Sie ein Konto verwenden, das zu diesem Computer gehört. Versuchen Sie, WIN2K8_DOMAIN \ USERNAME als Benutzernamen einzugeben.
Anders

Antworten:

3

Der Schlüssel hier ist zu verstehen, was Microsoft bedeutet, wenn "NTLMv2-Sitzungssicherheit bei Aushandlung" angegeben wird.

Wenn Sie nur die Einstellung überfliegen, lautet sie wie folgt: "Verwenden Sie NTLMv2, wenn Sie können", aber das bedeutet das überhaupt nicht.

Im Wesentlichen bedeutet dies "Verwenden Sie NTLMv1, und wenn Sie können, verwenden Sie diese NTLMv2-Komponente -" Sitzungssicherheit "genannt". Sitzungssicherheit ist eine Funktion, die mit NTLMv2 eingeführt wurde, wie in dem Artikel beschrieben, den Sie mit - http: // technet verlinkt haben .microsoft.com / de-de / magazine / 2006.08.securitywatch.aspx

Während Ihre Verbindung durch die Verwendung der Sitzungssicherheit sicherer wird, ist der von Ihnen gesendete Hash letztendlich ein NTLMv1-Hash. Und wie aus der von Ihnen veröffentlichten Tabelle hervorgeht, wird NTLMv2 nicht gesendet.

Was bedeutet das? Dies bedeutet, dass das Gruppenrichtlinienobjekt, das Sie auf Ihrem 2000-Server festgelegt haben, auf "NTLMv1 senden" und das Gruppenrichtlinienobjekt auf Ihrem Windows 2008-Server auf "Nur NTLMv2 akzeptieren" festgelegt ist. Ihre Lösung besteht darin, Ihre Gruppenrichtlinienobjekte auf beiden Feldern zu ändern. Die bevorzugte Methode besteht wahrscheinlich darin, die Sicherheitsstufe des 2k-Servers zu aktualisieren, um NTLMv2 zu unterstützen. Wenn die Konnektivität wie erwähnt unterbrochen wird, besteht die einzige Alternative darin, das Gruppenrichtlinienobjekt des Servers 2008 so zu ändern, dass NTLMv1 zulässig ist

Univ426
quelle
John K - Ich sehe, wo ich falsch gedacht habe. Es scheint nicht viele Informationen zu geben, die helfen, die Redewendung von Microsoft zu erklären. Wenn man es so sieht, macht es jetzt Sinn. Vielen Dank!
JMeterX