Môi trường miền Windows 2012r2 và thông tin đăng nhập NTLM

Tôi sẽ tắt tất cả NTLM trong môi trường miền của mình, nhưng trước đó tôi đã bật tính năng kiểm tra NTLM của bộ điều khiển miền và tôi thấy một số sự kiện 8004 với người dùng miền cục bộ và máy tính trong phần mô tả sự kiện này. Tất cả các máy khách của tôi đều đã cài đặt Windows 10, vậy tại sao NTLM vẫn được sử dụng trong môi trường của tôi, bởi vì nó nên được sử dụng Kerberos làm mặc định?

Hãy đọc mục blog của Steve Syfus tại đây - không cần phải nói gì thêm về vấn đề này. Anh ấy đề cập đến tất cả những gì bạn cần biết về lý do tại sao điều gì đó đang xảy ra và con đường phía trước.

https://syfuhs.net/killing-ntlm-is-hard

Lựa chọn quan tâm:

Và tại sao mọi thứ lại sử dụng NTLM khi chúng không nên? Vâng, cho cả hai thuộc tính mà tôi vừa mô tả.

1. Nếu một khách hàng không có tầm nhìn tới DC, thì nó không thể thực hiện Kerberos, do đó, nó sẽ quay trở lại NTLM.

2. Xác thực máy chủ đang buộc hạ cấp xuống NTLM.

Hơn nữa, lần thứ hai: NTLM không thực hiện xác thực máy chủ, do đó, bất kỳ ứng dụng hoặc quy trình nào không yêu cầu hoặc không xử lý xác thực máy chủ, thì kerberos không thể hoạt động và sau đó quay lại xác thực NTLM.

Tóm lại, bạn đang hỏi một câu hỏi mà chỉ bạn mới có thể trả lời. Bạn cần điều tra từng mục trong nhật ký và xác định lý do tại sao kerberos không hoạt động trong mỗi sự cố, sau đó bạn có thể tìm ra cách khắc phục hoặc chung sống với nó. Nếu bạn có thể khắc phục tất cả, thì bạn có thể tắt NTLM.

Để tìm ứng dụng cần NTLM, bạn có thể thêm tài khoản thử nghiệm vào nhóm miền "Người dùng được bảo vệ" và đăng nhập bằng tài khoản đó rồi kiểm tra từng ứng dụng của mình. Các thành viên tắt "Người dùng được bảo vệ" không được phép sử dụng NTLM, vì vậy đối với họ, xác thực ứng dụng sẽ không thành công ngay lập tức khi chỉ có thể sử dụng NTLM.