Como garantir que a máquina se conecta ao “Domínio Kerberos”?

1

Eu tenho tido problemas em que chamadas para o LogonUser A função da API do Windows está voltando para NTLM authentication , em vez de usar a autenticação Kerberos preferida, por padrão.

Pesquisando o problema, um cara tem uma sugestão :

The thing to do is to figure out why the code is using NTLM instead of Kerberos in the first place since Kerberos is the default and to try to see if it can be changed to make it use Kerberos. A couple of things come to mind:

  • The client machine must be domain joined to use Kerberos

Agora, eu nunca ouvi falar de being domain joined to use Kerberos . Você está participando de um domínio do Active Directory ou não, certo?

Nesse caso, a máquina é unida a um domínio do Active Directory, por exemplo:

contoso.local

O que significa ser " domínio inscrito para usar o Kerberos "; e como posso garantir que minha máquina está?

    
por Ian Boyd 30.04.2012 / 23:21

4 respostas

2

Sempre que ouvi ou usei o termo "domínio ingressado", significa "O estado de estar associado a um domínio do Active Directory".

    
por 30.04.2012 / 23:29
2

Demorou um pouco para entender os comentários do @TheCleaner e @HarryJohnston.

O ponto original do autor era tão óbvio que meu cérebro estava procurando o significado real.

A autenticação Kerberos só funciona em um domínio do Active Directory (doravante denominado um domínio ).

Machine Joined to        Logon Types available
=====================    ================================
Workgroup                NTLM
Windows NT 4 domain      NTLM
Active Directory domain  Kerberos (with fallback to NTLM)

A única maneira que você pode até mesmo esperar para usar o Kerberos é se você tiver ingressado em um domínio do Active Directory.

O que eu acho que é tão fundamental que nem está em questão.

Mas há o conselho.

    
por 01.05.2012 / 15:29
0

Para ver se uma máquina está usando a autenticação Kerberos, você pode usar "Kerberos Tray" e klist e dar uma olhada, se você pode ver um KTG (kerberos ticket grant ticket). Se você vir isso, significa que você está "associado" a um domínio do kerberos.

A bandeja Kerberos e a lista Kerberos klist estão incluídas no Windows Server 2003 Resource Kit e no Windows 2000 Resource Kit.

Veja também: link

    
por 01.05.2012 / 15:48
-1

Eu me deparei com um problema em que o fallback do NTLM foi forçado devido à porta 88 sendo bloqueada, que era uma configuração estranha em uma DMZ que não está relacionada ao seu problema, mas o ponto útil é que determinamos o motivo o fallback fazendo rastreamentos de rede. Poderíamos observar exatamente o IP e a porta em que a solicitação do Kerberos estava sendo tentada (e falhando), 3 conjuntos de pacotes, seguidos por uma solicitação NTLM quando ocorreu um failback. Nesse caso, só precisamos de uma porta aberta, sua situação provavelmente será diferente, mas as informações no rastreamento devem ajudá-lo a descobrir a causa do fallback.

    
por 02.10.2014 / 18:10