Falha na autenticação de senha - NTLMv2

7

Ambiente:

  • Windows 2000 sp4 EDITAR: Controlador de domínio sem configuração de confiança com o servidor Win2008
  • máquinas do Windows XP
  • Windows 2008 Server
  • Netapp NAS

Problema:

Temos uma pasta compartilhada que reside em um NAS usando um Windows 2008 AD para a autenticação com a configuração adequada de permissões. Quando a máquina Windows 2000 tenta abrir o compartilhamento que reside na máquina Win2008, ele é solicitado para um nome de usuário e senha. Ao inserir as credenciais, ele solicita novamente as credenciais continuamente.

Detalhes importantes:

A máquina Windows 2000 pode fazer ping tanto nas máquinas XP quanto no Windows 2008 Server

A máquina Windows 2008 é obrigada a usar apenas NTLMv2

A máquina Windows 2000 foi originalmente definida como NTLM, mas foi recentemente alterada para NTLMv2 if negotiated com o objetivo de tentar se conectar ao compartilhamento.

Como tenho certeza de que vai aparecer, estamos usando o Windows 2000 por causa de obrigações contratuais

Perguntas:

Por que a autenticação de senha está falhando neste caso?

Depois de definir um GPO para a máquina Win2000 para usar o NTLMv2, usamos o SECEDIT para atualizar os GPOs sem reinicializar. Alguém sabe se isso é suficiente ou será necessária uma reinicialização?

UPDATE

Verificamos os dois controladores de domínio de 2008 para encontrar um código de erro. Nós recebemos:

Microsoft_Auth_Package_V1_0
0xc000006a
Event ID: 4776

Eu sei que isso é um erro de autenticação por meio de ISTO artigo

"The value provided as the current password is not correct"

Sabemos que essa senha está correta, mas como esses dois domínios (Win2000 e Win2008) não têm uma configuração de confiança, qual conta de autenticação precisa ser usada? Um que reside no domínio hospedado no Win2000?

Atualização 2

Eu fiz algumas pesquisas sobre o NTLMv2 e as configurações que são necessárias como toda a if negotiated estava chegando para mim. Eu me deparei com as seguintes informações: da seguinte fonte:

Então, minha pergunta ainda é if negotiated e qual é o verdadeiro significado de session security ao lidar com NTLMv2? Meu pensamento é segurança de sessão são as palavras-chave aqui.

Nosso servidor de 2008 está definido para o nível 5 Nosso servidor 2000 está configurado para o nível 1

O servidor 2000 não pode sob nenhuma circunstância ser alterado do nível 1, pois, infelizmente, ele quebraria a autenticação de vários dispositivos legados. Então, para mim, parece que o problema está no nível 3, onde a sessão está passando por NTLM.

Crédito: richardkok

Eu sinto que estou quase lá, mas estou tendo dificuldades para processá-lo.

    
por JMeterX 26.09.2012 / 19:45

1 resposta

3

A chave aqui é entender o que a Microsoft quer dizer quando eles dizem "Segurança da sessão NTLMv2 se negociada"

Basta dar uma olhada na configuração, como "Use NTLMv2, se puder", mas na verdade isso não significa nada.

Essencialmente, o que significa é "Usar NTLMv1 e, se puder, usar esse componente NTLMv2 - chamado 'Segurança da Sessão'" A Segurança da Sessão é um recurso que foi introduzido com o NTLMv2, conforme descrito no artigo ao qual você ligou href="http://technet.microsoft.com/pt-br/magazine/2006.08.securitywatch.aspx"> link

Assim, enquanto sua conexão é tornada mais segura pelo uso incluído da segurança da sessão, no final do dia, o hash que você está enviando é um hash NTLMv1. E, como a tabela que você postou indica - o NTLMv2 não é enviado.

Então, o que isso significa? Bem, isso significa que o GPO que você definiu no servidor 2000 está definido como "Enviar NTLMv1" e o GPO no servidor Windows 2008 está definido como "Aceitar apenas NTLMv2". Sua solução está em modificar seus GPOs em qualquer uma das caixas, sendo o método preferido a melhoria do nível de segurança do servidor 2k para suportar NTLMv2. Infelizmente, se isso quebrar a conectividade mencionada, a única alternativa seria alterar o GPO do servidor 2008 para permitir o NTLMv1

    
por 27.09.2012 / 17:51