none
NTLM mit offline RODC RRS feed

  • Frage

  • Guten Tag zusammen,

    wie immer erhoffe ich mir Hilfe oder zumindest den finalen Todesstoß für meine technische Umsetzung.

    Leider bin ich mir nicht sicher ob die Rubrik die am besten passende ist, daher gerne verschieben, wenn nötig.

    Scenario:

    1x Headoffice mit writable DCs
    50x SiteOffices (SO) mit jeweils zwei RODCs (non GC aber mit GC caching und DNS) und diversen Maschinen (immer identisch)

    Anbindung der SOs ist meistens sehr langsam und nicht immer stabil (Schiffe).

    Jedes SO hat einen Server und ein NAS, welche für verschiedene Dinge genutzt werden. Um die Konfiguration von Verknüpfungen, Netzlaufwerken, Backuppfaden, etc per GPO einfach zu halten, wurden für jedes SO die DNS Einträge "nas" und "server" eingerichtet, mit der jeweiligen IP. Die Auflösung selbiger klappt hervorragend und dank korrekter Subneterkennung wird auch die jeweils korrekte IP zurück geliefert.

    Der Zugriff auf nas.unsere.domain und server.unsere.domain funktioniert hervorragend, solange der RODC mit dem RWDC sprechen kann.

    Fällt nun die WAN Verbindung aus, hat der Spaß ein abruptes Ende.
    Beim Versuch auf die Geräte zuzugreifen (Windows Fileshare), kommt nur eine Loginabfrage mit dem Vermerk, dass aktuell kein Domaincontroller kontaktiert werden könne.

    Ein Netzwerkmitschnitt zeigt, was zu erwarten ist:
    1. Es wird SMB2 als protokoll ausgehandelt
    2. Es wird versucht eine Kerberos Authentication auszuhandeln
    3. Für server.unsere.domain existiert kein SPN im AD, das KRB Ticket kann also nicht beantwortet werden (KRB5KDC_ERR_SVC_UNAVAILABLE)
    4. der RODC meldet krb service not available (KRB5KDC_ERR_SVC_UNAVAILABLE)
    5. nach ca 3 identischen Paketfolgen erscheint das Loginfenster

    Mit aktivem WAN sieht die Paketfolge identisch aus, jedoch authentifiziert sich der client nun via NTLM -> so ist es gewünscht.

    Wieso genau passiert dieser Fallback auf NTLM nicht, wenn der RODC keine WAN Verbindung hat? Kann ich das Verhalten beeinflussen?

    Falls weitere Infos benötigt werden, werde ich diese nach bestem Wissen und Gewissen nachliefern.
    Vielen Dank im Voraus

    Gruß Niclas

    Montag, 28. September 2020 14:22

Alle Antworten

  • Hallo Niclas,

    also ich verstehe das so, dass NTLM Authentifizierung funktioniert. Die Kerberos Authentifizierung sollte deaktiviert werden.

    Force NTLM authentication

    Hoffentlich wird Dir diese Diskussion weiterhelfen.

    Siehe weitere Informationen hier unter diesem Link:

    SMB file server share access is unsuccessful through DNS CNAME alias

    Grüße,

    Mihaela


    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.


    Freitag, 2. Oktober 2020 07:48
    Moderator
  • Hi,Mihaela,

    NTLM funktioniert grundsätzlich (im Networkcapture geprüft), aber eben nur, wenn der RoDC den RwDC erreicht.
    Ohne diese Verbindung (WAN down), bekommt der Client die Meldung, dass kein DC erreicht werden könne.

    Diesen Schritt verstehe ich nicht wirklich, denn der RoDC meldet dem Client bereits, dass kein SPN für den gewünschten Hostname vorhanden ist und daher eine Kerberos Auth. grundsätzlich nicht durchgeführt werden kann. Wieso muss dies vom RwDC noch "bestätigt" werden?

    Die CNAME Problematik trifft leider ebenfalls nicht zu, das hatte ich als allererstes probiert.
    Wir haben im DNS auch keine CNAMEs sondern Host A Einträge, da wir identische Einträge haben, die auf verschiedene IPs zeigen, was so mit CNAMEs nicht möglich ist.

    Force NTLM ist, was ich mir wünschen würde, aber ich habe keinen Ansatz, wie ich das umsetzen kann.
    Kerberos deaktivieren geht unter Windows nicht. Man kann nur die Nutzung verhindern, indem eben kein SPN für das AD Konto hinterlegt ist.
    Es gibt aber eben keine SPNs "nas" oder "server", welche ich entfernen könnte. Da SPNs nicht mehrach im AD vorkommen können/dürfen, kann ich diese auch nicht erstellen.

    Gruß Niclas

    Freitag, 2. Oktober 2020 09:06
  • 50x SiteOffices (SO) mit jeweils zwei RODCs (non GC aber mit GC caching und DNS) und diversen Maschinen (immer identisch)
    Und Kennwörter (User und Computer) auch? Ohne Kennwörter und ohne WAN-Verbindung kann der RODC nichts authentifizieren...

    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    Freitag, 2. Oktober 2020 13:04
  • User + Computer sind in der Passwortreplicationpolicy, die Authentifizierung via Kerberos funktioniert auch ohne WAN hervorragend.

    Das GC caching ist wie gesagt auch aktiv.
    Freitag, 2. Oktober 2020 13:15