3
Server 2012R2: NTLMv1 Events trotz Deaktivierung
Hallo Mit-Administratoren,
ich habe hier ein Problem welches ich einfach nicht gelöst bekomme.
Situation:
- Domäne, drei Standorte, drei DCs, Server 2012R2, höchstes Functional Level...
- NTLMv1 in der Domäne deaktiviert per GPO (auf DCs per DomainController-GPOs, in der Domäne über sep. GPO)
- für Debugging NTLM-Logging auf DCs per GPO angeschaltet
Nun erhalte ich bei jedem DC-Boot (egal welcher DomainController) den Event 6038 (System, Quelle LSA) der besagt, dass in meiner Domäne NTLM verwendet wird (was nicht stimmt).
Im Security-Log gibt es genau ein Event 4624, dass auf NTLMv1 hinweist:
Nach vielen Probieren habe ich herausgefunden, dass dieser Event immer dann einmalig erzeugt wird, wenn der Service "Server" gestartet wird. Das ist reproduzierbar.
Hat jemand eine Ahnung warum und wie ich das lösen kann? Ich will diesen Event 6038 loswerden.
PS: das NTLM-Logging bringt garnix, ich habe niemals ein Event mit einer der dazugehörigen IDs > 8000 gesehen.
PPS: ich habe mir schon einen Wolf gesucht und viele Tage mit der Lösung verschwendet.
ich habe hier ein Problem welches ich einfach nicht gelöst bekomme.
Situation:
- Domäne, drei Standorte, drei DCs, Server 2012R2, höchstes Functional Level...
- NTLMv1 in der Domäne deaktiviert per GPO (auf DCs per DomainController-GPOs, in der Domäne über sep. GPO)
- für Debugging NTLM-Logging auf DCs per GPO angeschaltet
Nun erhalte ich bei jedem DC-Boot (egal welcher DomainController) den Event 6038 (System, Quelle LSA) der besagt, dass in meiner Domäne NTLM verwendet wird (was nicht stimmt).
Im Security-Log gibt es genau ein Event 4624, dass auf NTLMv1 hinweist:
Ein Konto wurde erfolgreich angemeldet.
Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0
Anmeldetyp: 3
Identitätswechselebene: Identitätswechsel
Neue Anmeldung:
Sicherheits-ID: ANONYMOUS-ANMELDUNG
Kontoname: ANONYMOUS-ANMELDUNG
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0xAE9A5
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Prozessinformationen:
Prozess-ID: 0x0
Prozessname: -
Netzwerkinformationen:
Arbeitsstationsname:
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): NTLM V1
Schlüssellänge: 0Nach vielen Probieren habe ich herausgefunden, dass dieser Event immer dann einmalig erzeugt wird, wenn der Service "Server" gestartet wird. Das ist reproduzierbar.
Hat jemand eine Ahnung warum und wie ich das lösen kann? Ich will diesen Event 6038 loswerden.
PS: das NTLM-Logging bringt garnix, ich habe niemals ein Event mit einer der dazugehörigen IDs > 8000 gesehen.
PPS: ich habe mir schon einen Wolf gesucht und viele Tage mit der Lösung verschwendet.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 299367
Url: https://administrator.de/contentid/299367
Printed on: April 25, 2024 at 07:04 o'clock
3 Comments
Latest comment
Hallo,
Gruß,
Peter
Zitat von @Erna1266:
Nun erhalte ich bei jedem DC-Boot (egal welcher DomainController) den Event 6038 (System, Quelle LSA) der besagt, dass in meiner Domäne NTLM verwendet wird
Sagt er das tatsächlich so oder Interpretierst du es so?Nun erhalte ich bei jedem DC-Boot (egal welcher DomainController) den Event 6038 (System, Quelle LSA) der besagt, dass in meiner Domäne NTLM verwendet wird
und viele Tage mit der Lösung verschwendet.
Dann Rufe den Hersteller deiner Software an, vereibaren einen Obulos und lass ihm den Fehler behen...Gruß,
Peter
Hallo Peter,
danke für deine Antwort.
Im Event 6038 steht Folgendes:
Dies interpretiere ich so, dass NTLM weiterhin Verwendung findet. Im Internet gibt es dazu genügend Artikel die einem erklären, wie man damit umzugehen hat. Die Hinweise habe ich umgesetzt und NTLMv1 über GPOs deaktiviert. Und dennoch kommt es immer zeitgleich dazu zu dem Event 4624 mit dem Hinweis auf die Nutzung von NTLMv1, siehe oben.
Ich verstehe den Zusammenhang mit dem Dienst "Server" nicht und finde dazu auch interessanterweise nichts im Netz.
danke für deine Antwort.
Im Event 6038 steht Folgendes:
Von Microsoft Windows Server wurde festgestellt, dass momentan zwischen Clients und diesem Server die NTLM-Authentifizierung verwendet wird. Dieses Ereignis tritt einmal pro Serverstart auf, wenn NTLM von einem Client erstmalig für den Server verwendet wird.
NTLM ist ein relativ schwacher Authentifizierungsmechanismus. Prüfen Sie Folgendes:
Von welchen Anwendungen wird die NTLM-Authentifizierung verwendet?
Liegen Konfigurationsprobleme vor, die verhindern, dass ein stärkerer Authentifizierungsmechanismus (etwa Kerberos) verwendet wird?
Wenn NTLM unterstützt werden muss: Ist der erweiterte Schutz konfiguriert?Dies interpretiere ich so, dass NTLM weiterhin Verwendung findet. Im Internet gibt es dazu genügend Artikel die einem erklären, wie man damit umzugehen hat. Die Hinweise habe ich umgesetzt und NTLMv1 über GPOs deaktiviert. Und dennoch kommt es immer zeitgleich dazu zu dem Event 4624 mit dem Hinweis auf die Nutzung von NTLMv1, siehe oben.
Ich verstehe den Zusammenhang mit dem Dienst "Server" nicht und finde dazu auch interessanterweise nichts im Netz.
Hallo,
ich bin grade dabei bei uns in der Domäne NTLM zu deaktivieren.
Hast du bezüglich des Loggings die beiden folgenden Optionen aktiviert?
https://technet.microsoft.com/de-de/library/jj852175.aspx
https://technet.microsoft.com/de-de/library/jj852254.aspx
Und hast du im richtigen Log unter "Anwendungs- und Dienstprotokolle\Microsoft\Windows\NTLM\Operational (Betriebsbereit)" geschaut?
Bei uns werden dort nach Aktivierung der beiden GPO Einträge massig Einträge erstellt.
Viele Grüße
Stefan
ich bin grade dabei bei uns in der Domäne NTLM zu deaktivieren.
Hast du bezüglich des Loggings die beiden folgenden Optionen aktiviert?
https://technet.microsoft.com/de-de/library/jj852175.aspx
https://technet.microsoft.com/de-de/library/jj852254.aspx
Und hast du im richtigen Log unter "Anwendungs- und Dienstprotokolle\Microsoft\Windows\NTLM\Operational (Betriebsbereit)" geschaut?
Bei uns werden dort nach Aktivierung der beiden GPO Einträge massig Einträge erstellt.
Viele Grüße
Stefan
