Active-Directory

檢查 Active Directory 的主要身份驗證協議(NTLM 還是 Kerberos?)

  • August 17, 2020

如何從客戶端電腦(在全域組中)(也是本地管理員)檢查域控制器是否正在使用 NTLM 或 Kerberos 驗證我對域的登錄請求?

我知道預設情況下啟用了 Kerberos,但域管理員始終可以強制客戶端使用其他協議進行身份驗證。所以我只想確定他們使用的是哪個協議。有什麼方法可以檢查嗎?

任何幫助,將不勝感激

Greg 的回答沒問題,但是您的問題明確指出您想從客戶端而不是域控制器進行檢查。所以我會嘗試一下。

第一種方法,在您的客戶端上啟用 Kerberos 日誌記錄:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
   LogLevel DWORD 0x1

一旦啟用 Kerberos 日誌記錄,然後,登錄到東西並觀察事件日誌。如果您使用的是 Kerberos,那麼您將在事件日誌中看到該活動。如果您正在傳遞您的憑據並且在事件日誌中看不到任何 Kerberos 活動,那麼您正在使用 NTLM。

第二種方式,您可以使用 klist.exe 實用程序查看您目前的 Kerberos 票證。如果您是第一次對服務進行身份驗證,這肯定會對您有所幫助,因為您將獲得一張新票…但是對於同一服務的後續身份驗證,您可以重複使用相同的票,因此 klist.exe 可能對您的使用有限。

第三種方式,使用 Wireshark 觀察身份驗證。

引用自:https://serverfault.com/questions/682027