Authentication 在使用WISE打包安装程序编写的自定义应用程序包中遇到Kerberos和/或NTLM身份验证失败
我们在最初使用WISE打包安装程序为Windows 7设计的自定义应用程序包中遇到Kerberos和/或NTLM身份验证失败。在Windows7上,它们工作正常,但在Windows10上却失败了。它们在使用Microsoft SCCM工具在Windows 10上安装时都会失败,在安装过程中对网络上的SMB共享使用Kerberos身份验证时尤其会失败。我们可以在网络跟踪中看到,客户端应用程序在授权事务期间从Kerberos故障转移到NTLM。我们不确定为什么。我们有一个大规模的Active Directory环境。因为明智的方案是可笑的,所以我们不能研究它。在成功运行Windows 7的计算机上,执行包时计算机似乎需要访问共享,登录用户必须具有SMB共享的读取和执行权限。我们可以使用Windows 7系统帐户访问相同的SMB共享,但在使用Windows 10系统帐户时无法访问。非常奇怪!这是程序包内部的代码问题吗?这可能很重要:SMB共享正在使用DNS别名,不确定这是否有任何区别。主人的真实姓名不同。当使用主机的真实名称而不是别名时,访问问题似乎已得到解决。网络共享不会碰巧由非Windows服务器托管,是吗?如果是,请查看本条是否适用: Windows 10的安全模式基本上发生了变化。默认情况下,Windows 10不会为DNS别名请求Kerberos票证,但Windows 7会。SMB服务器基本上是说,因为您没有使用我的实际姓名(如服务票证所示),所以我不允许连接。使用成功的Windows 7计算机所连接的名称创建一个新的SPN,但格式为SPN。例如,如果Windows 7正在使用以下内容: \servername.domain.com\sharename ..然后找到代表主机的AD计算机对象的名称,并向该AD对象添加一个辅助SPN,如下所示:Authentication 在使用WISE打包安装程序编写的自定义应用程序包中遇到Kerberos和/或NTLM身份验证失败,authentication,active-directory,kerberos,ntlm,wise,Authentication,Active Directory,Kerberos,Ntlm,Wise,我们在最初使用WISE打包安装程序为Windows 7设计的自定义应用程序包中遇到Kerberos和/或NTLM身份验证失败。在Windows7上,它们工作正常,但在Windows10上却失败了。它们在使用Microsoft SCCM工具在Windows 10上安装时都会失败,在安装过程中对网络上的SMB共享使用Kerberos身份验证时尤其会失败。我们可以在网络跟踪中看到,客户端应用程序在授权事务期间从Kerberos故障转移到NTLM。我们不确定为什么。我们有一个大规模的Active Dir
HOST/servername.domain.com这是为了帮助解决MITM情况,我同意可能的原因。来自MIT Kerberos文档:“…DNS查找以规范化服务主体名称…反向DNS解析(查找与IP地址关联的主机名…)
rdns=false