我将在我的域环境中禁用所有 NTLM,但在此之前,我在域控制器上启用了 NTLM 审核,并且我在这些事件描述中看到了一些与我的本地域用户和计算机相关的 8004 事件。我的所有客户端都安装了 Windows 10,那么为什么我的环境中仍然使用 NTLM,因为它应该默认使用 Kerberos?
答案1
请阅读 Steve Syfus 的博客文章 - 无需多言。他涵盖了您需要了解的所有内容,包括某些事情发生的原因以及未来的发展方向。
https://syfuhs.net/killing-ntlm-is-hard
兴趣选择:
为什么有些东西不应该使用 NTLM 却要使用呢?好吧,因为我刚才描述了两个属性。
如果客户端无法看到 DC,则无法执行 Kerberos,因此会退回到 NTLM。
服务器身份验证正在强制降级到 NTLM。
进一步说第二点:NTLM 不执行服务器身份验证,因此无论哪个应用程序或进程未请求或未处理服务器身份验证,kerberos 都无法工作,然后会退回到 NTLM 身份验证。
简而言之,你问的问题只有你自己才能回答。你需要调查日志中的每个条目,并确定为什么 Kerberos 在每个事件中不起作用,然后你才能找出如何修复它,或者忍受它。如果你能修复所有问题,那么你就可以禁用 NTLM。
答案2
要找到需要 NTLM 的应用程序,您可以向域组“受保护的用户”添加一个测试帐户,然后使用该帐户登录并逐一测试所有应用程序。“受保护的用户”以外的成员不允许使用 NTLM,因此对于他们来说,当只能使用 NTLM 时,应用程序身份验证应该会立即失败。