none
Frage zu "Network security: Restrict NTLM: NTLM authentication in this domain" RRS feed

  • Frage

  • Wenn man Exchange 2016 on-prem einsetzt, KEIN Hybrid, besteht irgendwie die Möglichkeit, NTLM in der Domain abzuschalten?

    Wenn man "Network security: Restrict NTLM: NTLM authentication in this domain" auf z.B. "Deny for domain accounts" setzt, dann verlagt Outlook ein Username/Passwort. Gibt es da ein How-To (was man z.B. an Exchange ändern muss), oder ist es generell nicht möglich?

    Montag, 26. Juli 2021 17:28

Alle Antworten

  • Moin,

    hast Du denn bereits alles unternommen, um Kerberos zu ermöglichen?

    https://docs.microsoft.com/de-de/exchange/architecture/client-access/kerberos-auth-for-load-balanced-client-access?view=exchserver-2019

    Was steht bei einem korrekt verbundenen Outlook im "Verbindungsstatus" in der Authentifizierungsspalte?


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 26. Juli 2021 17:41
  • Ich habe nur erst einmal in einer Testumgebung das Ganze ausprobiert, 2 DCs und 1 Exchange 2016, am Exchange habe ich noch gar nichts verstellt. Wollte daher erst einmal fragen, was man da alles umstellen muss, bzw. ob es da ein How-To zu gibt, z.B. welche Dienste mal anpassen muss wg. Kerberos.

    Bzw., ob dies überhaupt möglich ist. Habe in einigen Foren gelesen, dass der Exchange nicht vollständig auf NTLM verzichten könnte und wollte mal wissen, ob das stimmt.

    Montag, 26. Juli 2021 17:50
  • Bzw., ob dies überhaupt möglich ist. Habe in einigen Foren gelesen, dass der Exchange nicht vollständig auf NTLM verzichten könnte und wollte mal wissen, ob das stimmt.

    Moin,

    die Anforderung nach NTLM findet sich nirgends in der Supportability Matrrix oder in den System Requirements. Allerdings muss klar sein, dass in Internet-Szenarien (Client hat keine Verbindung zum Domain Controller) Kerberos nicht möglich ist.

    Insofern, in einem reinen On-Prem-Szenario (alle Clients sind im LAN/VPN und Mitglied im AD) ist die Abschaltung von NTLM möglich, sobald eine der beiden Bedingungen verletzt ist, nicht.



    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 26. Juli 2021 19:11
  • Naja, "bereinigt" von NTLM wird man den Exchange wohl nicht bekommen, alleine schon wenn ich die vielen Einträge im IIS sehe, wo überall NTLM mit drinnen steht. Kann mir nicht vorstellen, dass wenn ich die alle selbst von Hand auf Kerberos umstelle und das NTLM entferne, dass da noch irgendwas geht.

    Meine Frage war in erster Linie nicht darauf abgestellt, dass man eine 'zusätzliche' Kerberos-Auth. mit dem Exchange einstellen/verwenden kann, sondern ob man den Exchange komplett von NTLM 'befreien' kann.

    Habe auch irgendwo gelesen, dass man den MRS nicht ohne NTLM betreiben könne.

    Aber Danke für die Infos...

    Dienstag, 27. Juli 2021 16:46
  • Hello,

    In this case the settings in Outlook should be changed as NTLM settings are mandatory in Windows AD unless NTLMv1 is disabled to force a stronger protocol through NTLMv2.

    If you intend to force a login with credentials for Outlook users, you can achieve this with the instructions in the next document:

    https://support.microsoft.com/en-US/help/940171/how-to-use- outlook -policy-to-control-credential-prompts-when-connecting-to-an-exchange-server-mailbox

    Kind Regards, 



    Donnerstag, 29. Juli 2021 16:40