遭遇Kerberos和/或NTLM身份验证失败在自定义应用程序包使用WISE包装安装
书面我们使用WISE包装安装程序遇到Kerberos和/或NTLM身份验证失败在orinally专为Windows 7定制的应用程序包。在Windows 7,他们工作得很好,但在Windows 10,他们在Windows 10安装使用微软SCCM工具时都失败,他们现在失败了,并使用Kerberos身份验证时,SMB共享网络durign安装过程中对他们专门失败。我们可以在客户端应用程序故障切换与Kerberos NTLM身份durign的authentcation交易网络跟踪看到里面。我们不确定原因。我们有一个大型的Active Directory环境。由于WISE软件包已被注销,我们无法查看它。在成功的Windows 7的机器,它出现在正在执行的包和loggged的用户必须具有读取和执行在SMB共享访问的计算机需要访问共享。我们可以使用Windows 7系统帐户,而不是使用Windows 10系统帐户时访问相同 SMB共享。很奇怪!这是包内的代码问题吗?这可能是重要:SMB共享使用的DNS别名,不知道这有什么差别。主机的真实姓名是不同的。当使用主机的真实名称而不是别名时,访问问题似乎得到解决。遭遇Kerberos和/或NTLM身份验证失败在自定义应用程序包使用WISE包装安装
网络共享不会碰巧由非Windows服务器承载,是吗?如果是这样,看看本文应用于:
SMB file server share access is unsuccessful through DNS CNAME alias
基本上有在默认的Windows 10的Windows 10的安全模型不会请求DNS别名Kerberos票证的变化,但Windows 7将。 SMB服务器基本上是说因为你没有使用我的实际名称(如服务票证所示),我不会允许连接。使用成功的Windows 7计算机连接的名称创建新的SPN,但采用SPN形式。例如,如果一个Windows 7是使用这样的事:
\ servername.domain.com \共享名
..then找到AD计算机对象的表示主机该名称和添加辅助SPN到该AD对象,像这样:
HOST/servername.domain.com
这是为了帮助MITM的情况,我同意,可能的原因。 – markgamache
从MIT Kerberos文档:_” ...的DNS查找** **。规范化的服务主体名称... **反向DNS解析** (查找与IP地址相关的主机名...)'rdns = false'将禁用客户端上的反向DNS查找“_ https://web.mit.edu/kerberos/krb5-1.15/doc/admin/princ_dn s.html –