Fehlerbehebung bei NTLM und Kerberos

Beheben häufiger Kerberos- und NTLM-Probleme.

Situation

Die Authentifizierung von Clientgeräten schlägt fehl, wenn Kerberos und NTLM konfiguriert sind.

Ursache

Einige häufige Probleme bei Authentifizierungsfehlern sind: Konfigurationsfehler, Fehler beim Domänenbeitritt und im Fall von Kerberos die Schlüsselversionsnummer (KVNO), die zwischen den Endgeräten und Sophos XG Firewall nicht übereinstimmt.

Lösung

  1. Gehen Sie zu Authentifizierung > Server.
  2. Klicken Sie auf Ihren AD-Server und dann auf Verbindung testen.

    Wenn die Verbindung fehlschlägt, müssen Sie die AD-Verbindungsprobleme beheben. Wenn die Verbindung erfolgreich war, fahren Sie mit den folgenden Schritten fort.

  3. Überprüfen Sie, ob eine Firewallregel unter Regeln und Richtlinien > Firewallregeln vorhanden ist, um Kerberos- und NTLM-Datenverkehr für die betroffenen Clients zuzulassen.
  4. Gehen Sie zu Verwaltung > Appliance-Zugriff, und stellen Sie sicher, dass AD SSO für die Zone konfiguriert ist, von der Clients sich authentifizieren. Dies ist in der Regel Ihre LAN-Zone.
  5. Wenn Sie XG Firewall als expliziten Proxy konfiguriert haben, stellen Sie sicher, dass der Hostname in den Browsereinstellungen verwendet wurde. Wenn Sie eine IP-Adresse verwendet haben, erlaubt der Client nur die NTLM-Authentifizierung.
  6. Melden Sie sich an der XG Firewall Kommandozeilenschnittstelle an.
  7. Wählen Sie Option 5. Device Management und dann Option 3. Advanced Shell.
  8. Verwenden Sie den folgenden Befehl, um zu überprüfen, ob der nasm-Dienst ausgeführt wird: service -S | grep -i "nasm"
  9. Überprüfen Sie die Kerberos-Keytab-Übereinstimmungen sowohl auf dem Client als auch auf Sophos XG Firewall.

    Öffnen Sie auf dem Client-PC eine Eingabeaufforderung und führen Sie den folgenden Befehl aus: setspn -Q */proxyhostname

    klist

    Ändern Sie den proxyhostname in den FQDN von Sophos XG Firewall.

    Rufen Sie außerdem die KVNO-Nummer mithilfe von Powershell mit den folgenden Befehlen aus AD ab:

    Führen Sie für einen Benutzer den folgenden Befehl aus: get-aduser BENUTZERNAME -property msDS-KeyVersionNumber

    Änder Sie BENUTZERNAME in den Benutzernamen des Benutzers, den Sie abfragen.

    Führen Sie für einen Rechner den folgenden Befehl aus: get-adcomputer COMPUTERNAME$ -property msDS-KeyVersionNumber

    Ändern Sie COMPUTERNAME in den Namen des Rechners, den Sie abfragen

    Führen Sie auf Sophos XG Firewall die folgenden Befehle in der erweiterten Shell aus: Chroot /content/nasm

    Führen Sie in der nächsten Eingabeaufforderung den folgenden Befehl aus: /oss/klist -e -k /tmp/krb5.keytab

    Die Ausgabe sieht ähnlich aus wie folgt:

    Überprüfen Sie, ob der Proxyname sowohl auf dem Client als auch auf Sophos XG Firewall übereinstimmt. Groß-/Kleinschreibung beachten.

    Überprüfen Sie, ob die KVNO zwischen dem Client und Sophos XG Firewall übereinstimmt.

  10. Wenn der Proxyname zwischen dem Client und XG Firewall nicht übereinstimmt, stellen Sie sicher, dass der Hosteintrag in AD für die XG mit dem Hostnamen übereinstimmt, der konfiguriert ist unter: Verwaltung > Admin-Einstellungen > Hostname.
  11. Wenn das KVNO nicht übereinstimmt, muss sich der Benutzer abmelden und erneut bei seinem Konto anmelden, oder Sie müssen XG Firewall erneut zur Domäne beitreten lassen. Dieses Problem wird normalerweise verursacht, wenn der Hostname von XG Firewall geändert wurde.