停用NTLM在域控制器上触发与基于 Windows 的用户的连接问题-ID代理(连接状态:RPC服务器不可用)

停用NTLM在域控制器上触发与基于 Windows 的用户的连接问题-ID代理(连接状态:RPC服务器不可用)

49157
Created On 03/29/22 20:08 PM - Last Modified 04/23/24 03:47 AM


Symptom


按照 Microsoft 的建议禁用传入NTLM流量以消除与此协议相关的漏洞,这会触发基于 Windows 的用户 ID 代理和域控制器之间的连接问题,从而导致连接状态为“这RPC服务器不可用”

参考:
https://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy -设置/网络安全限制-ntlm-传入-ntlm-交通

Environment


  • 基于 Windows 的用户 ID 代理 8.1、9.0、9.1、10.0、10.1、10.2
  • Kerberos
  • NTLM

Cause


基于 Windows 的用户 ID 代理将首先尝试使用 Kerberos 向域控制器进行身份验证,如果未配置 Kerberos 或身份验证失败,则它将回退到NTLM. 也就是说,无论基于 Windows 的用户 ID 代理和远程服务器之间的身份验证方法如何,NTLM仍将用于收集日志。

Resolution


1、请参考微软推荐的正确步骤policy环境:
  • “如果你选择拒绝所有域帐户或者拒绝所有帐户, 传入NTLM到成员服务器的流量将受到限制。 最好设置网络安全:限制NTLM:审计传入NTLM交通policy设置,然后查看操作日志以了解对成员服务器进行了哪些身份验证尝试,以及随后使用的客户端应用程序NTLM”。
  • “如果你配置这个policy设置, 众多NTLM身份验证请求可能会在您的网络中失败,从而降低工作效率。 在通过此实施此更改之前policy设置,设置网络安全:限制NTLM:审计传入NTLM交通到相同的选项,以便您可以查看日志的潜在影响,执行服务器分析,以及创建要从中排除的服务器例外列表policy环境网络安全:限制NTLM: 添加本域服务器例外”。

参考:
https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy -设置/网络安全限制-ntlm-传入-ntlm-交通

2. 为了避免使用NTLM在基于 Windows 的用户 ID 代理和域控制器之间的通信中,联系SE或客户团队投票支持功能请求:FR 19408。

Additional Information


Windows 用户 ID 代理上的 Kerberos 身份验证失败:

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004NqnCAE
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004NqdCAE&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language