Kein NTLM bei interaktiver Anmeldung an Vista und 2008 – betroffen u.a.: Externe Vertrauensstellungen

Mit Windows Server 2008 – und damit auch für Windows Vista SP1 – wurde eine Design-Änderung eingeführt, die das Verhalten bei einer interaktiven Anmeldung betrifft:

Es findet kein Rückfall mehr auf NTLM statt, wenn Kerberos bei einer interaktiven Anmeldung aus irgendeinem Grund fehlschlägt.

Davon betroffen sind u.a. Anmeldungen über eine externe Vertrauensstellung, bei denen bisher standardmäßig davon ausgegangen wird, daß hier NTLM verwendet wird.

Unsere Erfahrung in der letzten Zeit hat gezeigt, daß in den meisten Fällen auch Kerberos bei einer Anmeldung über einen externen Trust funktioniert.

Eine Voraussetzung ist, daß der Trust DNS-fähig ist und damit mindestens unter Windows 2000 erstellt wurde – d.h. getestet hab ich es nur ab Windows 2003. Trusts, die noch unter Windows NT 4.0 erstellt wurden, kennen nur NetBIOS. Mit diesem Trust-Typ funktioniert eine Anmeldung mit Kerberos also nicht.

Generell empfehlen wir immer, Trusts auf den Typ Forest-Trust zu ändern, weil sie deutlich flexibler sind und mehr Konfigurationsmöglichkeiten bieten.
Wo das aus irgendwelchen Gründen nicht möglich ist, kann es helfen, den externen Trust einfach mal neu zu erstellen. Falls der „Trusttype“ vorher 1 war und das Betriebssystem, wo er jetzt neu erstellt wird, mindestens Windows 2000 ist, würde er auf Trusttype 2 aktualisiert werden und damit DNS-fähig werden.

Eine wichtige Änderung ist, daß durch die Verwendung von Kerberos sich das Netzwerkverkehrsprofil ändert. Bei NTLM wird die Anmeldeanforderung ja ausgehend von der Maschine, an die sich der Benutzer anmeldet, von der Ressource per NetLogon RPC zum Benutzer-DC (Domänenkontroller) weitergeleitet.
Mit Kerberos ändert sich das. Die Client Maschine (bei interaktiver Anmeldung ist die gleich dem Ressource Server) treibt die Kommunikation. Die Maschine muß nun, anders als vorher, selbst eine Verbindung mit dem Domain Controller der Benutzerdomäne erstellen. Wenn sie das TGT erhalten hat, holt sie damit ein Ticket für die Ressourcen-Domäne und vom Ressourcen-DC bekommt der Benutzer dann ein Ticket für die Arbeitsstation.

Wie findet man heraus, welcher Trust-Typ vorliegt ?
Active Directory speichert den Typ des Trusts und der verwendeten Namensauslösung im Attribut „TrustType“ des Trusted Domain Objekts im System Container. Die Werte für alle vertrauten Domänen einer Domäne kann man mit folgender Kommandozeile herausfinden - beim Beispiel der interaktiven Anmeldung also in der Domäne der Arbeitsstation:

ldifde /d cn=system,dc=<Deine Domäne> /p onelevel /r (objectcategory=trustedDomain) /l trusttype,trustpartner /f trust-types.txt

Mit diesem Kommando werden die Werte von Trusttype und von TrustPartner ausgegeben.

Denn neben dem Wert für TrustType ist der NETBIOS Name der Domain in TrustPartner ein Hinweis, daß es mit Kerberos Probleme geben wird. Bei (mit Kerberos) funktionierenden Trusts steht hier der DNS Name der Domäne, so wie dann auch das Objekt selbst benannt ist.

Achtung: In der Liste sind auch die Domänen des Forests selbst verzeichnet, zu denen die Domäne Trusts hat.

Zusatznotiz:
Damit Kerberos über eine externe Vertrauensstellung funktionieren kann, können natürlich noch andere Dinge eine Rolle spielen, wie z.B. die Ports, die Kerberos benötigt, falls zwischen den Domänen eine Firewall ist, siehe auch z.B.:

832017 Service overview and network port requirements for the Windows Server system
https://support.microsoft.com/default.aspx?scid=kb;EN-US;832017

 

Gruß

Barbara