none
NTLM authentication failed because the account was a member of the Protected User group RRS feed

  • Frage

  • Hallo,

    wir haben zwei Domänen (A und B), jeder hat seinen eigenen Forest und zwei Domänencontroller. Es gibt ein Vertrauen zwischen Domänen. Jeder admin hat zwei Domänenadmins-Konten in jeder Domäne (wie A\Admin und B\Admin).

    Domäne A hat einen PAW, wo sich die Admins mit A\Admin anmelden und beide Domänen verwalten (A\Admin wurde einige Rechte in Domäne B delegiert). Aber manchmal müssen die Admins sich mit einem server (über RDP) in B-Domäne über B\Admin-Konto verbinden. Wenn ein admin von seinem eigenen Computer (Windows 10) verbindet - es scheitert an NTLM-Authentifizierung, die für die Mitglieder der Geschützten Benutzergruppe nicht erlaubt ist. Dann verbinden sich die admins von PAW und es funktioniert. In den Protokollen sehe ich anderen Typ der Authentifizierung - Kerberos!

    Fragen: warum wird NTLM-Authentifizierung in RDP verwendet und wie ändere ich das auf Kerberos mithilfe von GPO?

    Vielen Dank im Voraus!

    Mittwoch, 17. Juni 2020 14:36

Alle Antworten

  • Moin,

    es wäre nett, wenn Du auf das Parallelposting in https://windowsbb.com/threads/362819/ und https://social.technet.microsoft.com/Forums/en-US/bb68c94e-1977-425a-8a3e-f4e0467a3e30/ntlm-authentication-failed-because-the-account-was-a-member-of-the-protected-user-group?forum=ws2016 hinweisen würdest.

    Gibt es Unterschiede im Aufruf (IP vs. NetBIOS-Name vs. FQDN)? Welche SPNs mit dem Präfix TERMSRV sind für den Zielserver registriert? Tritt das Phänomen nur bei RDP oder auch bei anderen Protokollen (SMB / DCOM) auf?


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Mittwoch, 17. Juni 2020 14:54
  • Hallo Evgenij,

    ich dachte nicht, dass es wichtig ist.
    Aber windowsbb.com ist nicht meins. Warum wurde mein Thema dort kopiert?

    Gibt es Unterschiede im Aufruf (IP vs. NetBIOS-Name vs. FQDN)?

    Kein Unterschiede:

    Welche SPNs mit dem Präfix TERMSRV sind für den Zielserver registriert?
    TERMSRV/server und TERMSRV/server.domainb.local
    Tritt das Phänomen nur bei RDP oder auch bei anderen Protokollen (SMB / DCOM) auf?

    Ja, wenn man Active Directory Administrative Center sogar auf PAW als B\Admin ausführt. Und es gilt für alle Server in Domäne B:

    Was möchte ich noch hinzufügen, dass PAW, Windows 10 und der Zielserver in verschiedenen Netzwerken sind. Wenn man den Admin aus der Gruppe "Protected Users" entfernt, ist alles in Ordnung.

    Mittwoch, 17. Juni 2020 15:24
  • Moin,

    mit "ist alles in Ordnung" meinst Du "er macht dann plötzlich auch Kerberos" oder "er kann sich dann anmelden, per NTLM halt"?

    Was ist zwischen den Netzen? Eine Firewall oder einfach nur ein Router? Sind alle Netze im Forest B in Sites & Subnets bekannt?

    Und mit dem Doppelposting... es ist ein guter Ton, darauf hinzuweisen, dass hier nicht der einzige Ort ist, an dem man auf Hilfe hofft. Aber solange man die Lösung, so eine herbeigeführt wurde, auch überall postet, ist alles OK :-)


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Mittwoch, 17. Juni 2020 15:39
  • mit "ist alles in Ordnung" meinst Du "er macht dann plötzlich auch Kerberos" oder "er kann sich dann anmelden, per NTLM halt"?

    es wurde Kerberos verwendet:

    Was ist zwischen den Netzen? Eine Firewall oder einfach nur ein Router? Sind alle Netze im Forest B in Sites & Subnets bekannt?

    Es gibt CheckPoint Router mit Firewall.
    Nein, weder das PAW- noch das Windows 10 Netzwerk sind in der Site gekennzeichnet, aber es trotzdem lauft wenn man sich von PAW verbindet.

    wenn ich eine Lösung habe, werde ich sie gerne überall teilen...

    Mittwoch, 17. Juni 2020 16:13
  • irgendwelche Ideen?
    Mittwoch, 1. Juli 2020 10:40