パスワード認証が失敗する-NTLMv2
環境:
- Windows 2000 sp4EDIT:Win2008サーバーでの信頼設定なしのドメインコントローラー
- Windows XPマシン
- Windows 2008サーバー
- Netapp NAS
問題:
NASに存在する共有フォルダがあり、適切な権限設定での認証にWindows 2008 ADを使用しています。Windows2000マシンがWin2008マシンにある共有を開こうとすると、ユーザー名とパスワードの入力を求められます。資格情報を入力すると、継続的に資格情報を求められます。
重要な詳細:
Windows 2000マシンは、XPマシンとWindows 2008 Serverの両方をpingできます
Windows 2008マシンはNTLMv2のみを使用するように義務付けられています
Windows 2000マシンは元々NTLMに設定されていましたが、共有への接続を試みる目的で最近NTLMv2 if negotiatedに切り替えられました。
私はそれが出てくると確信しているので、契約上の義務のためにWindows 2000を使用しています
質問:
この場合、パスワード認証が失敗するのはなぜですか?
NTLMv2を使用するようにWin2000マシンにGPOを設定した後、SECEDITを使用して再起動せずにGPOを更新しました。これで十分か、再起動が必要になりますか?
[〜#〜]更新[〜#〜]
2008年の両方のドメインコントローラーをチェックして、エラーコードを見つけました。私たちは受け取った:
Microsoft_Auth_Package_V1_0
0xc000006a
Event ID: 4776
これは [〜#〜] this [〜#〜] 記事を介して認証エラーであることを知っています
「現在のパスワードとして提供された値は正しくありません」
このパスワードは正しいことがわかっていますが、これらの2つのドメイン(Win2000とWin2008)には信頼関係の設定がないため、どの認証アカウントを使用する必要がありますか? Win2000がホストするドメインに存在するものですか?
更新2
NTLMv2とif negotiated全体に必要な設定について調査しました。次の情報に遭遇しました: 次のソースから:
それで私の質問はまだif negotiatedであり、NTLMv2を扱うときのsession securityの真の意味は何ですか?ここでのキーワードは、セッションのセキュリティです。
2008サーバーはレベル5に設定されています2000サーバーはレベル1に設定されています
残念ながら、2000サーバーはレベル1から変更できません。残念ながら、多くのレガシーデバイスへの認証が壊れてしまうためです。したがって、問題はレベル3でセッションがNTLMを通過しているように思えます。
もうすぐそこにいるような気がしますが、それを処理するのに苦労しています。
ここで重要なのは、マイクロソフトが「交渉した場合のNTLMv2セッションセキュリティ」と言ったときの意味を理解することです。
設定をざっと見てみると、「もし可能ならNTLMv2を使う」のように書いてありますが、実際には、それはまったく意味がありません。
基本的には、「NTLMv1を使用し、可能であればこのNTLMv2コンポーネントを使用する-「セッションセキュリティ」と呼ばれる」という意味です。セッションセキュリティは、NTLMv2で導入された機能であり、リンク先の記事に記載されています- http ://technet.Microsoft.com/en-us/magazine/2006.08.securitywatch.aspx
そのため、セッションセキュリティを含めることで接続がより安全になりますが、結局のところ、送信するハッシュはNTLMv1ハッシュです。そして、あなたが投稿したテーブルが示すように-NTLMv2は送信されません。
それはどういう意味ですか?まあ、それは、GPOが「NTLMv1を送信する」に設定され、GPOが「 NTLMv2のみを受け入れます。」ソリューションはいずれかのボックスのGPOを変更することです。推奨される方法は、NTLMv2をサポートするために2kサーバーのセキュリティレベルをアップグレードすることです。残念ながら、前述のように接続が切断される場合、唯一の代替策は、 2008サーバーのGPO NTLMv1を許可する