Среда домена Windows 2012r2 и вход в систему NTLM

Я бы отключил все NTLM в своей доменной среде, но перед этим я включил аудит NTLM на контроллере домена, и я вижу некоторые события 8004 с моими локальными доменными пользователями и компьютерами в описании этих событий. На всех моих клиентах установлена ​​Windows 10, так почему же NTLM до сих пор используется в моей среде, ведь по умолчанию следует использовать Kerberos?

Прочтите запись в блоге Стива Сайфуса здесь — по этому поводу больше нечего сказать. Он охватывает все, что вам нужно знать о том, почему что-то происходит, и о пути вперед.

https://syfuhs.net/killing-ntlm-is-hard

Выбор интереса:

И почему вещи используют NTLM, а не должны? Ну а на двоих свойства, которые я только что описал.

1. Если клиент не находится в прямой видимости с контроллером домена, он не может использовать Kerberos, поэтому он возвращается к NTLM.

2. Аутентификация сервера вызывает переход на NTLM.

Кроме того, второе: NTLM не выполняет аутентификацию сервера, поэтому любое приложение или процесс, которые не запрашивают или не обрабатывают аутентификацию сервера, тогда kerberos не может работать, а затем возвращается к аутентификации NTLM.

Короче говоря, вы задаете вопрос, на который можете ответить только вы. Вам нужно изучить каждую запись в журнале и выяснить, почему kerberos не работал в каждом инциденте, после чего вы сможете выяснить, как это исправить, или жить с этим. Если вы можете исправить их все, вы можете отключить NTLM.

Чтобы найти приложение, которому требуется NTLM, вы можете добавить тестовую учетную запись в группу домена «Защищенные пользователи», войти в систему с ее помощью и протестировать все свои приложения одно за другим. Участникам из «Защищенных пользователей» запрещено использовать NTLM, поэтому для них проверка подлинности приложения должна завершаться ошибкой сразу, когда возможен только NTLM.