我们目前有一个NAC服务器设置为使用ntlm_auth实用程序对Samba4 AD进行身份validation,并希望使其更容忍networking中断。 目前,当NAC失去与Samba4 Active Directory的连接时,每个login尝试都失败。 这种情况曾经是可以接受的,但现在我们的networking拓扑结构已经发生了变化,问题变得更加严重 根据Samba文档,我在NAC的smb.conf和Samba4 AD中添加了“winbind offline logon = true”。 为了testing脱机身份validation,我添加了两个iptables规则,将所有stream量都删除到Samba4 Active Directory服务器。 当我尝试使用winbind进行身份validation时,它按预期工作: 16:52:11-root@hq-networkserv@- /var/log/samba: wbinfo -K COMPANY\\super-user%superpassword plaintext kerberos password authentication for [COMPANY\super-user%superpassword] succeeded (requesting cctype: FILE) user_flgs: NETLOGON_CACHED_ACCOUNT credentials were put in: FILE:/tmp/krb5cc_0 另一方面,如果我使用以下选项尝试使用ntlm_auth,则失败: 16:52:35-root@hq-networkserv@- /var/log/samba: ntlm_auth –use-cached-creds –username=super-user –password=superpassword –domain= COMPANY NT_STATUS_NO_LOGON_SERVERS: No logon servers (0xc000005e) NAC服务器连接到Samba4域,只要保持连接,一切都可以正常工作。 我明白,这个build议的解决scheme只允许authentication以前authentication的客户端,但这已经是一个很大的改进。 有没有什么办法可以让ntlm_auth在无法连接到AD的期间成功进行身份validation,因为winbind能够做到这一点?
我一直试图让鱿鱼运行kerberos auth几天,但我有一些麻烦。 这个问题已经在squid-users列表和网页上多次提出并答复过,我已经阅读了所有这些问题,并试图解决这个问题。 但是还是没有运气。 我不确定为什么客户端会尝试使用NTLM而不是Kerberos进行授权,如果您向我解释如何检查原因以及如何解决问题,我将不胜感激。 这里是我的一些日志文件和testing。 (configuration文件的准备和维基一样; http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerberos ) –> tail -f cache.log 2012/01/11 11:54:06| squid_kerb_auth: DEBUG: Got 'YR TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAbEdAAAADw==' from squid (length: 59). 2012/01/11 11:54:06| squid_kerb_auth: DEBUG: Decode 'TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAbEdAAAADw==' (decoded length: 40). 2012/01/11 11:54:06| squid_kerb_auth: WARNING: received type 1 NTLM token 2012/01/11 11:54:06| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH received type […]
我有一个Web应用程序,我想通过使用传递NTLM进行身份validation进行身份validation。 然而,有一个问题,NTLMv2显然不能在这种情况下工作(没有应用程序存储相同的密码哈希)。 我使用本地组策略:计算机 – > Windows设置 – >安全设置 – >networking安全:LANpipe理器身份validation级别在一台客户端计算机(Vista)上启用NTLMv1。 我将其更改为发送LM和NTLM – 如果协商使用NTLMv2会话安全性。 这工作,我可以使用NTLMlogin到Web应用程序。 现在这个应用程序将被所有的客户端机器使用…所以我想知道如果我把这个策略推送给所有的人(但不是域控制器本身),安全风险是什么?
我试图把RDP放到我的一台服务器上,这个服务器作为Network Level Authentication Enabled以及NTLMv2被强制使用。 这工作得很好,直到服务器不得不重新启动更新。 现在,我不能RDP到我的服务器了。 我得到这个错误试图通过RDP连接: 发生authentication错误 – 所请求的function不受支持 这转换为:发生了authentication错误。 所请求的function不被支持 我尝试了几个Googlesearch到的东西,例如在registry中添加额外的SecurityPackages值,如下所示: http : //funeasytech.com/rdp-connection-error-of-the-requested-security-package-does-not-存在/但没有工作。 在客户端上更改组策略也不能解决我的问题,如下所述: https : //stackoverflow.com/questions/17371311/the-function-requested-is-not-supported-exception-when-using-smtpclient-in -azu 问题是我没有物理访问这个盒子,只能通过RDP。 服务器正在运行Windows Server 2012 R2 Standard,客户端正在运行Windows 10 Pro。 我怎样才能重新获得我的服务器?
由于在运行SQL 2014的Win 7.1 Pro桌面和Windows 2012 R2 Datacenter Azure服务器上应用完整的补丁集,SQL Management Studio(2008和2014版本)将无法连接到SQL 2014 Azure服务器。 客户端连接尝试超时并失败,SQL Server错误5。 SQL Server事务复制继续在本地SQL 2008实例和远程SQL 2014实例之间正常工作。 此外,远程(Azure)服务器上的SQL Management Studio 2014可以连接到本地(现场)SQL 2008实例,而不会影响远程(Azure)SQL 2014服务器。 双向DNSparsing和IP连接是正常的。 我可以看到,远程SQL 2014实例在启动时正确地创build了它的SPN。 SQL 2014上有一个警告,表示某些客户端正在使用NTLM回退。 我没有SQL 2014的本地实例,也没有SQL 2008的远程实例。所以我不确定这是一个相关的因素,服务器是远程的,在Azure上,通过VPN,或者如果我会看到相同的修补本地客户端和修补本地SQL服务器的问题。 我注意到远程SQL 2014服务器上的SQL浏览器服务已停止并被禁用。 我不确定这是否是预补丁的情况。 但是我在默认端口上运行一个实例,而不是一个命名实例,所以我希望我不需要SQL浏览器服务? 这个补丁星期二有关于Server 2003networking文件共享的身份validation问题。 我还没有看到一般的AD身份validation问题或SQL Server身份validation问题的报告。 有其他人有这个问题或类似的? 任何build议,我应该试着回滚哪个KB? 我应该运行Kerberosconfiguration分析器吗? 我应该启动禁用的SQL浏览器服务吗? 任何帮助赞赏。 从服务器上删除MS15-027(KB3002657)并重新启动服务器不能解决问题。 删除客户端上的KB 3046049并重新启动客户端不能解决问题。 删除服务器上的KB 3046049并重新启动服务器不能解决问题,但错误代码从5更改为53(更常见的错误代码)。 编辑:这是不同于今晚的安全更新后 , SQL Server Windows身份validation失败的问题:login来自不受信任的域,虽然它可能具有相同的根本原因。 […]
我有用squid(NTLM)身份validation的用户使用Samba 3.5.4的Active Directory服务器,我想logging用户的login尝试。 我想要一行显示如下: TIMESTAMP username@DOMAIN SUCCESS/FAILURE
在AD环境下工作摆脱NTLM V1login全部; 发现很多事件,其中几乎所有来自用户“匿名login”(4624事件)的其他1(4624事件)百分比都来自某些用户。 所以,在这里我有一些问题。 禁用“匿名login”(通过GPO安全设置)还是阻止“NTLM V1”连接更好? 双方或双方面临的风险是什么? 这些login事件大多来自其他Microsoft成员服务器。 匿名login100%的时间使用“NTLM V1”吗? 即如果我看到一个匿名login,我可以假设它肯定使用NTLM V1? 匿名login事件540和4624之间的区别是什么? – >注意:function级别是2008 R2 请让我知道是否需要任何额外的信息。
如何从客户端机器(在全局组)(也是本地pipe理员)中检查域控制器是否使用NTLM或Kerberosvalidation了对域的login请求? 我知道默认情况下启用了Kerberos,但域Admin始终可以强制客户端使用其他协议进行authentication。 所以我只是想确定他们正在使用哪个协议。 有什么方法可以检查吗? 任何帮助,将不胜感激
我有AD和ntlm_auth的问题。 我使用以下命令查询AD服务器以检查用户是否存在: ntlm_auth –use-cached-creds –username=SOME_USER –password=SOME_PASS –domain=SOME_DOMAIN 但是,当我在AD中更改用户的密码时,以下两个查询都有效: ntlm_auth –use-cached-creds –username=SOME_USER –password=OLD_PASS –domain=SOME_DOMAIN ntlm_auth –use-cached-creds –username=SOME_USER –password=NEW_PASS –domain=SOME_DOMAIN 如果我删除/var/cache/samba/的.tdbcaching文件,则只能使用NEW_PASSlogin。 我该如何解决这个问题? 有没有办法让服务器不caching密码? 或ntlm_auth的任何标志,我可以使用不考虑old_password? 我正在使用CentOS5和ntlm_auth 3.3.8。 提前致谢。
由于在台式机上升级到Windows 7,我开始有一个病毒检查的问题。 特别是 – 在(托pipe文件的)CIFS共享上执行重命名操作时。 病毒检查程序似乎在文件pipe理器上触发一组消息: [filerB: auth.trace.authenticateUser.loginTraceIP:info]: AUTH: Login attempt by user server-wk8-r2$ of domain MYDOMAIN from client machine 10.1.1.20 (server-wk8-r2). [filerB: auth.dc.trace.DCConnection.statusMsg:info]: AUTH: TraceDC- attempting authentication with domain controller \\MYDC. [filerB: auth.trace.authenticateUser.loginRejected:info]: AUTH: Login attempt by user rejected by the domain controller with error 0xc0000199: STATUS_NOLOGON_WORKSTATION_TRUST_ACCOUNT. [filerB: auth.trace.authenticateUser.loginTraceMsg:info]: AUTH: Delaying the response by […]