none
windows server kerberos认证问题 RRS feed

  • 问题

  • 1、域内pc客户端访问域内服务器,使用kerberos认证是否都是双向的?即一台加域电脑pc访问一台文件服务器,使用kerberos认证的时候,pc也会验证文件服务器的身份?

    2、域内pc客户端访问域内服务器,如文件服务器,通过\\ip\共享目录  访问此时验证方式为ntlm?使用\\fileservername\共享目录 访问此时验证方式为kerberos?

    3、未加域的客户端访问域内服务器资源,是否都是以ntlm方式,无法使用kerberos?


    2020年6月12日 6:54

答案

  • 你好,
    如果我们提供的方法对您有帮助,请请“标记为答案”以帮助其他社区成员快速找到有用的回复。
    如有需要协助的地方,欢迎随时发帖询问!

    Fan

    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    • 已标记为答案 nelson2004 2020年6月18日 8:23
    2020年6月17日 3:17

全部回复

  • 你好,

    欢迎使用论坛发帖!

    1,根据我的调查,关于域内kerberos认证是否都是双向的:这个是可选的。在认证的KPB_AP_RE阶段,客户端发送是否需要双向验证的标志位。关于验证的整个过程,可以参考以下链接:

    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc772815(v%3dws.10)

    2,默认情况下,如果主机名是IP地址,则Windows不会尝试对主机进行Kerberos身份验证。我在自己的实验环境里抓包的结果来看,也是使用的NTLM。

    使用server 名称访问的情况下使用的是kerberos认证。

    3,我的理解是未加域的客户端时无法使用kerberos的,因为没有办法使用DC进行认证。

    Fan



    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年6月15日 6:55
  • 你好,
    如果我们提供的方法对您有帮助,请请“标记为答案”以帮助其他社区成员快速找到有用的回复。
    如有需要协助的地方,欢迎随时发帖询问!

    Fan

    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    • 已标记为答案 nelson2004 2020年6月18日 8:23
    2020年6月17日 3:17