none
ドメイン環境下における NetLogon の必要性について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    お世話になっております。
    ドメイン環境下における Kerberos と NetLogon の関係、特に NetLogon の必要性について教えてください。

    これまでドメイン環境下では NetLogon サービスは必須と思っていました。
    ところが、予想に反して、クライアント側の NetLogon サービスを無効にしてもドメインにログインができました。
    パケットレベルで確認したところ、PC 起動時に以下の流れで認証が行われていましたが、NetLogon サービスを無効にした場合、3 の RPC_NETLOGON の過程が抜け落ちていました。

    1. DNS による SRV レコード問い合わせ
    2. LDAP(CLDAP)によるオブジェクトの問い合わせ
    3. RPC_NETLOGON による認証
    4. SMB ネゴシエーション
    5. Kerberos 認証

    NetLogon がなくてもログインできるのであれば、そもそも何のために行っているのでしょうか。

    よく、PC 起動時にコンピューターアカウントで DC に認証する、という解説を見かけますが、これは Kerberos 認証において cname=コンピューター名, sname=krbtgt で認証することを指していると思っていましたが、そうするとやはり NetLogon は不要という理解になってしまいます。

    この点について、何が誤っているかをご教授ください。


    【環境】
    Windows 10
    Windows Server 2019

    • 編集済み hada2 2021年1月21日 5:23
    2021年1月21日 5:19
    |

回答

  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    この件ですが、NetLogonはクライアントとのセキュアチャネルの確立、ドメインコントローラー間のActive Directory複製に必要な内容となります。MSRPCを使う場合は必須と考えられますので、NTLM認証(ダウンレベル認証含む)や後続動作となる「Name Translation」動作に影響が出ると思います。動作の詳細については、最後に紹介する資料にありますので、確認してください。

    問題なくログオンできた、ということですが、本当に問題なかったのでしょうか?Kerborosチケット(システムアカウント周りも含め)やコンピューターグループポリシー適用など、問題が起こっている可能性がありますので、キチンと確認してください。ユーザーログオンならキャッシュでもログオンは可能です。

    単なる技術的興味ならよいのですが、検証結果を持って「NetLogonを不要サービスと断ずる」といった解釈は避けてください。マイクロソフトはこの解釈をサポートしません。

    トラフィックの詳細については、したのページを参考にしてください。Windows 2000が対象ですが、現状も基本動作はほぼ変わっていません。LetLogonに関する説明もありますので。

    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-2000-server/bb742590(v=technet.10)?WT.mc_id=EM-MVP-8322

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク hada2 2021年1月22日 15:19
    2021年1月22日 5:11
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    この件ですが、NetLogonはクライアントとのセキュアチャネルの確立、ドメインコントローラー間のActive Directory複製に必要な内容となります。MSRPCを使う場合は必須と考えられますので、NTLM認証(ダウンレベル認証含む)や後続動作となる「Name Translation」動作に影響が出ると思います。動作の詳細については、最後に紹介する資料にありますので、確認してください。

    問題なくログオンできた、ということですが、本当に問題なかったのでしょうか?Kerborosチケット(システムアカウント周りも含め)やコンピューターグループポリシー適用など、問題が起こっている可能性がありますので、キチンと確認してください。ユーザーログオンならキャッシュでもログオンは可能です。

    単なる技術的興味ならよいのですが、検証結果を持って「NetLogonを不要サービスと断ずる」といった解釈は避けてください。マイクロソフトはこの解釈をサポートしません。

    トラフィックの詳細については、したのページを参考にしてください。Windows 2000が対象ですが、現状も基本動作はほぼ変わっていません。LetLogonに関する説明もありますので。

    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-2000-server/bb742590(v=technet.10)?WT.mc_id=EM-MVP-8322

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク hada2 2021年1月22日 15:19
    2021年1月22日 5:11
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票
    チャブーン様

    回答いただきまして、大変ありがとうございます。
    お騒がせして申し訳ありませんでしたが、NetLogon が不要という根拠を求めている訳ではなく、そのような設定を導入する意図もございません。

    (NTLM パススルー認証を使用しない環境で)NetLogon が提供する機能は Kerberos に包含されているように思えまして、そもそもの NetLogon の存在意義が分からなくなり、この疑問を解消するために実験しておりました。キャッシュも疑って新規ユーザーを作成して試していたのですが、それでもログインは成功しました。

    NetLogon は NTLM パススルー認証やドメインコントローラー間の複製のために必要な機能、ということでまずは理解しました。ご紹介いただいたドキュメントをもう一度参照しながら、その他の影響について細かく確認して理解を深めていきたいと思います。ありがとうございました。
    • 編集済み hada2 2021年1月22日 15:22
    2021年1月22日 15:18
    |