Проверка подлинности Kerberos используется в современных доменах Windows AD, но я все еще вижу много ссылок на проверку подлинности NTLM.
Поэтому я хотел бы знать варианты использования для проверки подлинности NTLM. Существуют ли сценарии, в которых NTLM-аутентификация всегда используется?
Хотя V_V точно говорит о том, что Kerberos предпочтителен и рекомендован, NTLM по-прежнему активно используется даже в средах AD. Существует много случаев, когда Kerberos не работает, например, доступ к ресурсам по IP, веб-трафик через балансировщики нагрузки (требуется специальная конфигурация Curb), некоторая кластеризация и SQL, большой трафик между лесами.
NTLM по-прежнему используется для компьютеров, которые являются членами рабочей группы, а также для локальной аутентификации. Однако в среде домена Active Directory аутентификация Kerberos предпочтительнее. По причинам обратной совместимости Microsoft по-прежнему поддерживает NTLM. Поскольку приложение не от Microsoft или Microsoft может по-прежнему использовать NTLM.
Начиная с Windows Server 2003, Kerberos был предложен вместо NTLM, поскольку это более надежный протокол аутентификации, который использует взаимную аутентификацию, а не метод запроса / ответа NTLM.
Однако с помощью групповой политики мы можем отключить старый NTLM и разрешить только Kerberos, это называется блокировкой NTLM. Однако, прежде чем делать это, вы должны проверить и убедиться, что приложения Microsoft и сторонние в вашей сети не требуют проверки подлинности NTLM, прежде чем продолжить.
