现代 Windows AD 域中使用 Kerberos 身份验证,但我仍然看到很多对 NTLM 身份验证的引用。
因此,我想知道 NTLM 身份验证的用例。是否存在始终使用 NTLM 身份验证的场景?
答案1
NTLM 仍用于工作组成员计算机以及本地身份验证。然而,在 Active Directory 域环境中,Kerberos 身份验证更可取。出于向后兼容性的原因,Microsoft 仍支持 NTLM。因为非 Microsoft 或 Microsoft 应用程序可能仍使用 NTLM。
从 Windows Server 2003 开始,建议使用 Kerberos 而不是 NTLM,因为它是一种更强大的身份验证协议,它使用相互身份验证而不是 NTLM 质询/响应方法。
但是,通过组策略,我们可以禁用较旧的 NTLM 并仅允许 Kerberos,这称为 NTLM 阻止。但在执行此操作之前,您应该检查并确保网络中的 Microsoft 和第三方应用程序都不需要 NTLM 身份验证,然后再继续。
答案2
虽然 V_V 确实认为 Kerberos 是首选和推荐的,但即使在 AD 环境中,NTLM 仍然被广泛使用。在许多用例中 Kerberos 不起作用,例如通过 IP 访问资源、通过负载平衡器进行 Web 流量(需要特殊的 Kerb 配置)、一些集群和 SQL,以及大量跨林流量。