Вопрос или проблема
На протяжении недели я не могу войти в систему Windows shares или на другие серверы, используя NTLM-аутентификацию через мой VPN в нашу корпоративную сеть. Все остальное работает, SSO и так далее, Teams, Outlook, только аутентификация на основе NTLM не проходит. VPN работает, так как я легко захожу в другие сервисы без аутентификации Windows в нашей сети.
Ошибка сбоя в журнале событий сервера:
Субъект:
Идентификатор безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Идентификатор входа: 0x0
Тип входа: 3
Учетная запись, для которой вход не удался:
Идентификатор безопасности: NULL SID
Имя учетной записи: USERNAME
Домен учетной записи: DOMAIN
Информация о сбое:
Причина сбоя: Неизвестное имя пользователя или неверный пароль.
Статус: 0xC000006D
Подстатус: 0xC000006A
Информация о процессе:
Идентификатор вызывающего процесса: 0x0
Имя вызывающего процесса: -
Информация о сети:
Имя рабочей станции: HOSTNAME
Исходный сетевой адрес: MY IP
Исходный порт: 59399
Подробная информация об аутентификации:
Процесс входа: NtLmSsp
Аутентификационный пакет: NTLM
Пройденные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0
И успешный вход:
Субъект:
Идентификатор безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Идентификатор входа: 0x0
Информация о входе:
Тип входа: 3
Режим ограниченного администратора: -
Виртуальная учетная запись: Нет
Повышенный токен: Да
Уровень имитации: Имитирование
Новый вход:
Идентификатор безопасности: DOMAIN\USERNAME
Имя учетной записи: USERNAME
Домен учетной записи: DOMAIN
Идентификатор входа: 0x4D9A67A9F
Связанный идентификатор входа: 0x0
Имя сетевой учетной записи: -
Домен сетевой учетной записи: -
GUID входа: {00000000-0000-0000-0000-000000000000}
Информация о процессе:
Идентификатор процесса: 0x0
Имя процесса: -
Информация о сети:
Имя рабочей станции: HOSTNAME
Исходный сетевой адрес: THEIR IP
Исходный порт: 56943
Подробная информация об аутентификации:
Процесс входа: NtLmSsp
Аутентификационный пакет: NTLM
Пройденные службы: -
Имя пакета (только NTLM): NTLM V2
Длина ключа: 128
Если вы заметите, идентификатор безопасности равен NULL, и имя пакета не указано. Ничего не изменилось на моем ноутбуке, администраторы не могут увидеть ничего странного в моей учетной записи. Я изменил пароль после того, как это началось, и могу снова войти во все остальное, кроме аутентификации NTLM. Другие пользователи получают идентификатор безопасности DOMAIN\USERNAME.
Ответ или решение
Вопрос: Невозможность выполнения NTLM-аутентификации через VPN
Недавно возникла проблема с доступом к ресурсам корпоративной сети с использованием NTLM-аутентификации через VPN. Проблема заключается в том, что при попытке войти в системы, использующие NTLM, аутентификация не проходит, в то время как другие службы, такие как SSO, Microsoft Teams и Outlook, работают без сбоев. Данный ответ направлен на анализ причин возникновения данной проблемы и шаги для её устранения.
Описание проблемы
Согласно описанию, ошибка возникает при попытке логина с использованием NTLM. Логи событий указывают на NULL SID и отсутствие имени пакета в неудачных попытках аутентификации. При успешном входе, Security ID выглядит как DOMAIN\USERNAME и пакет аутентификации — NTLM V2 с ключом длиной 128 бит. В результате таких различий, можно предположить, что учетная запись не распознается правильным образом в процессе аутентификации NTLM.
Анализ журнала событий
- NULL SID указывает на то, что аутентификация не была корректно выполнена, следовательно, система не может идентифицировать учетную запись.
- Коды состояния 0xC000006D и 0xC000006A означают, что либо имя пользователя неверно, либо пароль неправильный. Однако учетная запись работает для других сервисов, что указывает на потенциальную проблему конфигурации или сетевого взаимодействия.
- Логон Type 3 предполагает, что это удаленный доступ, который может быть затронут настройками VPN.
Возможные причины проблемы
- Изменения в конфигурации VPN: Недавние изменения в настройках VPN могут повлиять на передачу NTLM-запросов. Убедитесь, что прокси-сервер или брандмауэр не блокируют трафик NTLM.
- Проблемы с политиками групп: Возможно, политики групп, которые применяются к учетной записи, были изменены. Это может влиять на необходимость использования NTLM или ограничения на аутентификацию.
- Проблемы с DNS: Убедитесь, что DNS-настройки корректны и что клиент может разрешить имена серверов в компании.
- Кэширование учетных данных: Если учетные данные были кэшированы неправильно, это может помешать аутентификации. Попробуйте очистить кэш для NTLM.
Рекомендации по устранению проблемы
- Перезапустите VPN: Проверьте настройки VPN и выполните его перезапуск. Оцените, как он взаимодействует с сетевыми протоколами.
- Проверьте политику групп: Изучите изменения в политиках групп, применяемых к пользователям и компьютерам в домене.
- Проверьте DNS: Убедитесь, что DNS-записи для домена корректны и определяются.
- Измените конфигурацию VLAN: Если используется VLAN, проверьте его настройки и убедитесь, что все необходимые порты открыты.
- Обратитесь к администратору сети: Попросите помочь в анализе логов сети, чтобы определить, блокируются ли пакеты сети, содержащие NTLM.
Заключение
Проблема с NTLM-аутентификацией через VPN может быть связана с рядом факторов, от изменений в конфигурации до сетевых политик. Проведение детального расследования и применение рекомендованных шагов помогут восстановить функционирование аутентификации NTLM. Всегда полезно оставаться на связи с администратором системы для получения актуальной информации и выяснения любых изменений, которые могли бы повлиять на вашу учетную запись.