Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - Запрет NTLM v1 в домене

Ответить
Настройки темы
2008 R2 - Запрет NTLM v1 в домене

Аватара для Maza11

Старожил


Сообщения: 259
Благодарности: 1

Профиль | Отправить PM | Цитировать


Добрый день, у меня вопрос, нужно ли включать Сетевая безопасность: ограничения NTLM: входящий трафик NTLM - Запретить все учетные записи
если уже включены эти две настройки
Сетевая безопасность: уровень проверки подлинности LAN Manager - Отправлять только NTLMv2-ответ. Отказывать LM и NTLM
Сетевая безопасность: не хранить хеш-значений LAN Manager при следующей смене пароля
как бы NTLM первой версии и так должно отклонять, нужно ли для этого запрещать еще и входящий трафик NTLM ?
В разных статьях по запрету NTLM где то пишут что достаточно запретить хеш и выставить "Отправлять только NTLMv2-ответ. Отказывать LM и NTLM", где то еще советуют для запрета включать "Сетевая безопасность: ограничения NTLM: проверка подлинности NTLM в этом домене- запретить все"
Достаточно ли двух уже выбранных или надо все четыре запрета выставлять ?

Отправлено: 00:03, 16-06-2022

 

Аватара для NickM

Ветеран


Contributor


Сообщения: 4224
Благодарности: 987

Профиль | Отправить PM | Цитировать


Цитата Maza11:
по IP нет или »
Может у Вас обратная зона DNS не корректно работает?
Резолвинг по IP происходит как того положено?

Ну и отсюда цитата:
Цитата:
Если вы отключили NTLM, самый простой вариант — попробовать зайти на любой сервер или DC по IP:
\\192.168.1.100. При отключенном NTLM, вы не сможете зайти на такую шару (Kerberos использует только FQDN имена, или нужна SPN запись для IP адреса ). А по полному имени доступ должен работать \\server1.domain.com
Возможно как раз Вашего случая и касается.
Это сообщение посчитали полезным следующие участники:

Отправлено: 19:22, 23-06-2022 | #11



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для Maza11

Старожил


Сообщения: 259
Благодарности: 1

Профиль | Отправить PM | Цитировать


Цитата NickM:
Может у Вас обратная зона DNS не корректно работает?
Резолвинг по IP происходит как того положено? »
Спасибо большое что помогаете и отвечаете, для меня это очень важно
спросил у главного КД его собственное имя
спросил IP адрес главного КД в имя
спросил у главного КД IP адрес второго КД


все успешно

дочитал и не понял, это у всех так и ничего нельзя сделать получается, запрет на ходить по IP адресам это не баг а фича получается

что такое SPN запись пока не знаю честно говоря

Отправлено: 21:02, 23-06-2022 | #12


Аватара для Maza11

Старожил


Сообщения: 259
Благодарности: 1

Профиль | Отправить PM | Цитировать


мне наверное нужно создать тему в ветке "Сетевые технологии" с этим вопросом ? http://forum.oszone.net/forum-31.html
Потому что первоначальный вопрос уже был решен.

Отправлено: 15:45, 24-06-2022 | #13


Аватара для Anton04

Ветеран


Сообщения: 2054
Благодарности: 389

Профиль | Отправить PM | Цитировать


Цитата Maza11:
дочитал и не понял, это у всех так и ничего нельзя сделать получается, запрет на ходить по IP адресам это не баг а фича получается »
Да это особенность. Лучше забыть навсегда хоть на smb по IP.

Цитата Maza11:
мне наверное нужно создать тему в ветке "Сетевые технологии" с этим вопросом ? »
По мне данный вопрос не имеет отношения к сетевым, а скорее именно к Windows.

-------
Слабый всю жизнь идёт лёгкой дорогой, черта сильного выбрать трудный путь.
Будь осторожен в своих желаниях, ибо они иногда сбываются.

Это сообщение посчитали полезным следующие участники:

Отправлено: 20:13, 25-06-2022 | #14


Аватара для Maza11

Старожил


Сообщения: 259
Благодарности: 1

Профиль | Отправить PM | Цитировать


вычитал в статье на хабре следующее

https://habr.com/ru/post/283482/

утверждается что с запрещенным NTLM и разрешенным NTLMv2 доступ по IP должен проходить по NTLMv2

у меня же разрешен NTLMv2, но все равно не открывается, только по имени

Отправлено: 01:25, 28-06-2022 | #15



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - Запрет NTLM v1 в домене

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Общее - Не удается включить запрет изменения паролей в домене Ivlex Windows Server 2016/2019/2022 4 18-03-2022 13:01
2008 R2 - чистка раб. столов в домене и запрет их редактирования santey007 Windows Server 2008/2008 R2 5 20-12-2014 14:31
2008 - Запрет доступа к шарам юзеров домена с компьютеров не состоящих в домене Maks29a Windows Server 2008/2008 R2 10 28-08-2009 15:57
Запрет логиниться юзеру на двух машинах в домене Russo Microsoft Windows NT/2000/2003 2 15-08-2007 09:20
Запрет перенаправления папок в домене. MTA Microsoft Windows NT/2000/2003 1 17-07-2007 09:43




 
Переход