将Kerberos用于RDP

Question

在我们的环境中，我们正在通过GPO关闭NTLM的入站和出站流量。在实验室测试中，当阻止远程主机上的入站NTLM时，我们遇到了以下情况：

1. 通过跨林阻塞入站NTLM的远程主机的RDP‘’ing生成了一条CredSSP错误消息。
2. 将加密Oracle补救设置为缓解或易受攻击的解决方案无效。
3. 在远程主机上关闭NLA作为解决方案将允许跨林RDP。
4. 我尝试通过远程主机上的策略应用“允许委派新凭据”，但它仍然会导致CredSSP错误。
5. 我还尝试将远程主机上的策略设置为“需要为远程连接使用特定的安全层”使用SSL，而且我仍然得到了相同的CredSSP错误。
6. 真正起作用的是，如果我尝试从同一林中的RDP到远程主机，它将允许连接，并且我可以确认它正在使用Kerberos作为RDP，而不是NTLM。
7. 另一个观察是，一旦同一林RDP在远程主机上工作，与阻止入站NTLM的远程主机上的跨林RDP连接现在就可以工作了。

以前有没有人遇到过类似的事情？如果是这样的话，是否有人找到了跨林RDP的解决方案，可以在一个被阻塞的入站NTLM的远程主机上工作，而不需要在同一林中的远程主机上进行预测试？

Answer 1

Encryption Oracle Remediation错误是一个红鲱鱼，因为它使用与NTLM is not available错误相同的错误代码。除非您已经3年没有修补，否则很可能永远不会出现加密Oracle修复问题。它只是试图回到NTLM，而政策却拒绝了。

在所有可能的情况下，问题是客户端无法找到域控制器或与其通信来执行NLA。

客户端必须首先找到用户的域(域A)。从那里验证他们的密码。然后它要求拿到一张到机器的票。机器不在用户的域中，所以它会创建一张它认为机器在哪里的推荐票(域B)。

推荐返回给客户端，客户端试图找到一个DC到推荐应该去的地方(域B)。客户端将推荐发送到域B，并要求提供到机器的票证。域控制器要么找到机器并为它颁发票证，要么说它不知道并提供对另一个域(域C)的引用，然后您再试一次，或者说找不到机器就失败了。

所有这些都是从客户端的角度进行的，而不是目标机器的角度。这发生在客户端甚至在目标机器(ish)之前。这就是为什么禁用NLA似乎解决了这个问题。

因此，出现这种情况的原因有几个：

1. 你用了一个IP地址--这是一个直接到NTLM的场景。默认情况下，Kerberos不执行IP地址。你可以把它打开，但它不会缩放。
2. 客户端不能与用户域中的DC通信(域A)。网络问题，客户需要视线到域控制器，加上DNS。
3. 客户端不能在目标机器的域中(域B)与DC通信。仍然是一个网络问题，客户需要视线到域控制器，加上DNS。
4. 您没有提供一个完全限定的名称，并且用户的DC无法确定它应该引用哪个目录林。您可以启用森林搜索命令，它可能会有所帮助，或者您可以键入完全限定的计算机名称。

这不是一个详尽的清单，但这些是最常见的原因。

参考文献：

https://syfuhs.net/windows-and-domain-trusts

https://syfuhs.net/how-authentication-works-when-you-use-remote-desktop

Answer 2

在使用域\用户名登录时，我也遇到了类似的问题；使用UPN (username@domaine.com)对我起作用。我的理解是使用UPN允许客户端知道DNS域名，然后它可以通过DNS解析发现远程域的DC。

注意:我的设置来自一个工作组服务器，所以与您的不完全相同；YMMV。