La deshabilitación NTLM en el controlador de dominio desencadena problemas de conexión con el agente deID usuario basado en Windows (Estado de conexión: el RPC servidor no está disponible)

La deshabilitación NTLM en el controlador de dominio desencadena problemas de conexión con el agente deID usuario basado en Windows (Estado de conexión: el RPC servidor no está disponible)

49186
Created On 03/29/22 20:08 PM - Last Modified 04/23/24 03:47 AM


Symptom


Siguiendo las recomendaciones de Microsoft para deshabilitar el tráfico entrante NTLM para eliminar las vulnerabilidades relacionadas con este protocolo, esto desencadena problemas de conectividad entre el agente de identificador de usuario basado en Windows y los controladores de dominio, lo que da como resultado un estado de conexión de "El RPC servidor no está disponible"

Referencia:
https://learn.microsoft.com/en-us/windows/security/threat-protection/security--settings/network-security-restrict-ntlm-incoming-ntlm-trafficpolicy

Environment


  • Agente de identificación de usuario basado en Windows 8.1, 9.0, 9.1, 10.0, 10.1, 10.2
  • Kerberos
  • NTLM

Cause


El agente de idador de usuario basado en Windows primero intentará autenticarse en el controlador de dominio mediante Kerberos, si Kerberos no está configurado o se produce un error en la autenticación, se recurrirá a NTLM. Dicho esto, independientemente del método de autenticación entre el agente de identificación de usuario basado en Windows y el servidor remoto, NTLM se seguirá utilizando para recopilar registros.

Resolution


1. Consulte los pasos adecuados recomendados por Microsoft para esta policy configuración:
 
  • "Si selecciona Denegar todas las cuentas de dominio o Denegar todas las cuentas, el tráfico entrante NTLM al servidor miembro estará restringido. Es mejor establecer la configuración Seguridad de red: Restringir NTLM: Auditar tráfico entrante NTLM y, a continuación, revisar el registro operativo para comprender qué intentos de autenticación se realizan en los servidores miembro y, posteriormente, qué aplicaciones cliente están utilizando NTLM".policy
  • "Si configura esta policy configuración, numerosas NTLM solicitudes de autenticación podrían fallar dentro de su red, lo que podría degradar la productividad. Antes de implementar este cambio a través de esta configuración, establezca Seguridad de red: Restringir : Auditar el tráfico entrante NTLM en la misma opción para que pueda revisar el registro para determinar el posible impacto, realizar un análisis de los servidores y crear una lista de excepciones de servidores para excluir de esta configuración Seguridad de red: Restringir NTLMNTLM: Agregar excepciones de servidor en este dominio". policy policy

Referencia:https://docs.microsoft.com/en-us/windows/security/threat-protection/security--
settings/network-security-restrict-ntlm-incoming-ntlm-trafficpolicy

 

 2. Para evitar el uso de en la comunicación entre el agente de idador de usuario basado en Windows y los controladores de dominio, póngase en contacto o en SE el equipo de cuentas para votar por la solicitud de NTLM características: FR 19408.

Additional Information


Error de autenticación Kerberos en el agente de ID de usuario de Windows:

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004NqnCAE
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004NqdCAE&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language