Active-Directory
檢查 Active Directory 的主要身份驗證協議(NTLM 還是 Kerberos?)
如何從客戶端電腦(在全域組中)(也是本地管理員)檢查域控制器是否正在使用 NTLM 或 Kerberos 驗證我對域的登錄請求?
我知道預設情況下啟用了 Kerberos,但域管理員始終可以強制客戶端使用其他協議進行身份驗證。所以我只想確定他們使用的是哪個協議。有什麼方法可以檢查嗎?
任何幫助,將不勝感激
Greg 的回答沒問題,但是您的問題明確指出您想從客戶端而不是域控制器進行檢查。所以我會嘗試一下。
第一種方法,在您的客戶端上啟用 Kerberos 日誌記錄:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters LogLevel DWORD 0x1
一旦啟用 Kerberos 日誌記錄,然後,登錄到東西並觀察事件日誌。如果您使用的是 Kerberos,那麼您將在事件日誌中看到該活動。如果您正在傳遞您的憑據並且在事件日誌中看不到任何 Kerberos 活動,那麼您正在使用 NTLM。
第二種方式,您可以使用 klist.exe 實用程序查看您目前的 Kerberos 票證。如果您是第一次對服務進行身份驗證,這肯定會對您有所幫助,因為您將獲得一張新票…但是對於同一服務的後續身份驗證,您可以重複使用相同的票,因此 klist.exe 可能對您的使用有限。
第三種方式,使用 Wireshark 觀察身份驗證。