Frage Kennwortauthentifizierung schlägt fehl - NTLMv2


Umgebung:

  • Windows 2000 SP4 BEARBEITEN: Domänencontroller ohne Vertrauensstellung mit dem Win2008 Server
  • Windows XP Maschinen
  • Windows 2008 Server
  • NetApp NAS

Problem:

Wir haben einen freigegebenen Ordner, der sich auf einem NAS befindet, mit einem Windows 2008 AD für die Authentifizierung mit den richtigen Berechtigungen Setup. Wenn der Windows 2000-Computer versucht, die Freigabe auf dem Win2008-Computer zu öffnen, wird er aufgefordert, einen Benutzernamen und ein Kennwort einzugeben. Nach Eingabe der Anmeldedaten werden Sie erneut nach Anmeldeinformationen gefragt.

Wichtige Details:

Der Windows 2000-Computer kann sowohl die XP-Computer als auch den Windows 2008 Server anpingen

Der Windows 2008-Computer muss nur NTLMv2 verwenden

Der Windows 2000-Computer wurde ursprünglich auf NTLM festgelegt, wurde jedoch kürzlich auf Windows 2000 umgestellt NTLMv2 if negotiated um zu versuchen, sich mit der Aktie zu verbinden.

Wie ich sicher bin, verwenden wir Windows 2000 wegen vertraglicher Verpflichtungen

Fragen:

Warum schlägt die Kennwortauthentifizierung in diesem Fall fehl?

Nach dem Festlegen eines Gruppenrichtlinienobjekts für den Win2000-Computer für die Verwendung von NTLMv2 haben wir SECEDIT verwendet, um die Gruppenrichtlinienobjekte ohne Neustart zu aktualisieren. Weiß jemand, ob dies ausreicht oder ein Neustart erforderlich ist?


AKTUALISIEREN

Wir haben beide Domänencontroller 2008 überprüft, um einen Fehlercode zu finden. Wir bekamen:

Microsoft_Auth_Package_V1_0
0xc000006a
Event ID: 4776

Ich weiß, dass dies ein Authentifizierungsfehler ist DIESE Artikel

"Der als aktuelles Passwort angegebene Wert ist nicht korrekt"

Wir wissen, dass dieses Passwort korrekt ist, aber da diese beiden Domains (Win2000 & Win2008) kein Trust-Setup haben, welches Authentifizierungskonto muss verwendet werden? Eine, die sich auf der von Win2000 gehosteten Domain befindet?


Update 2

Ich habe NTLMv2 und die Einstellungen, die als Ganzes benötigt werden, untersucht if negotiated Ding kam zu mir. Ich bin auf folgende Informationen gestoßen:aus folgender Quelle:

Client Side Server Side

Also meine Frage ist dann immer noch die if negotiated und was die wahre Bedeutung von session security im Umgang mit NTLMv2? Mein Denken ist Sitzungssicherheit sind die Schlüsselwörter hier.

Unser Server 2008 ist auf Level 5 eingestellt Unser Server 2000 ist auf Stufe 1 eingestellt

Der Server 2000 kann unter keinen Umständen von Level 1 geändert werden, da er die Authentifizierung für viele Legacy-Geräte beeinträchtigen würde. Für mich klingt es so, als befände sich das Problem auf Level 3, wo die Sitzung NTLM passiert.

Flow of NTLM Kredit: richardkok

Ich fühle mich, als wäre ich fast da, aber ich habe eine schwere Zeit damit zu arbeiten.


7
2017-09-26 17:45


Ursprung


Was macht das? Security Eventlog an beiden Enden muss dazu sagen? - Ansgar Wiechers
Aktualisierte Frage - JMeterX
Mein erster Gedanke ist, haben Sie Ihr Tastaturlayout auf Ihrem W2k-Computer verifiziert? Geben Sie das Passwort in das Feld Benutzername ein. Wenn Ihr Windows 2008-Computer die Authentifizierung durchführt, sollten Sie ein Konto verwenden, das zu diesem Computer gehört. Geben Sie WIN2K8_DOMAIN \ USERNAME als Ihren Benutzernamen ein. - Anders


Antworten:


Der Schlüssel hier ist zu verstehen, was Microsoft bedeutet, wenn sie "NTLMv2 Sitzung Sicherheit sagen, wenn verhandelt"

Wenn man nur die Einstellung überfliegt, liest es sich wie "Benutze NTLMv2, wenn du kannst", aber in Wirklichkeit bedeutet das gar nicht.

Im Wesentlichen bedeutet es "Verwenden Sie NTLMv1 und, wenn Sie können, verwenden Sie diese NTLMv2-Komponente - namens" Sitzungssicherheit "" Sitzungssicherheit ist eine Funktion, die mit NTLMv2 eingeführt wurde, wie in dem Artikel beschrieben, mit dem Sie verbunden sind - http://technet.microsoft.com/en-us/magazine/2006.08.securitywatch.aspx

Während Ihre Verbindung durch die Verwendung der Sitzungssicherheit sicherer gemacht wird, ist der von Ihnen gesendete Hash letztendlich ein NTLMv1-Hash. Und, wie die von Ihnen gepostete Tabelle angibt, wird NTLMv2 nicht gesendet.

Was bedeutet das? Nun, es bedeutet, dass das GPO, das Sie auf Ihrem 2000 Server eingestellt haben, auf "Send NTLMv1" gesetzt ist und das GPO auf Ihrem Windows 2008 Server auf "Nur NTLMv2 akzeptieren" eingestellt ist. Ihre Lösung besteht darin, Ihre Gruppenrichtlinienobjekte in jeder Box zu ändern, wobei die bevorzugte Methode wahrscheinlich darin besteht, die Sicherheitsstufe des 2k-Servers zu erhöhen, um NTLMv2 zu unterstützen. Wenn die Verbindung wie erwähnt unterbrochen wird, wäre die einzige Alternative, das Server-GPO 2008 zu ändern, um NTLMv1 zuzulassen


3
2017-09-27 15:51



John K - Ich sehe, wo ich in meinen Gedanken falsch gelaufen bin, es scheint nicht viele Informationen zu geben, die helfen, Microsofts Worte zu erklären. So gesehen, macht es jetzt Sinn. Vielen Dank! - JMeterX