我一直在调用LogonUser Windows API函数的问题正在回落到NTLM身份validation ,而不是使用首选的默认Kerberos身份validation。
研究这个问题, 一个人有一个build议 :
要做的事情是弄清楚为什么代码首先使用NTLM而不是Kerberos,因为Kerberos是默认的,并试图查看是否可以改变它使用Kerberos。 想到几件事情:
- 客户机必须join域才能使用Kerberos
现在我从来没有听说过being domain joined to use Kerberos 。 要么你join到一个活动目录域,或不是,对不对?
在这种情况下,计算机join到Active Directory域,例如:
contoso.local
这是什么意思是“ 域join使用Kerberos ”; 我如何确保我的机器?
每当我听到或使用“join域”一词时,就意味着“joinActive Directory域的状态”。
睡了一觉才明白@TheCleaner和@HarryJohnston的评论。
原作者的观点非常明显,我的大脑正在寻找真正的意义。
Kerberos身份validation只能在Active Directory域(以下称为域 )中起作用。
Machine Joined to Logon Types available ===================== ================================ Workgroup NTLM Windows NT 4 domain NTLM Active Directory domain Kerberos (with fallback to NTLM)
您甚至可以希望使用Kerberos的唯一方法是如果您join到Active Directory域。
我会认为这是如此重要,甚至没有问题。
但有build议。
要查看一台机器是否使用Kerberos身份validation,可以使用“Kerberos Tray”和klist并查看是否可以看到KTG(Kerberos票证授予票证)。 如果你看到这个,这意味着你“join”了Kerberos域。
Kerberos托盘和Kerberos列表klist包含在Windows Server 2003资源工具包和Windows 2000资源工具包中。
另请参阅: http : //technet.microsoft.com/zh-CN/library/cc738673%28v=ws.10%29.aspx
我遇到了由于端口88被阻塞而导致NTLM回退的问题,这是DMZ中与您的问题无关的奇怪configuration,但有用的一点是我们确定了回退的原因做networking痕迹。 我们可以确切地观察到Kerberos请求正在尝试(和失败)的IP和端口,3组数据包,以及发生故障恢复时的NTLM请求。 在这种情况下,我们只需要一个端口打开,你的情况可能会有所不同,但跟踪中的信息应该帮助你调查倒退的原因。