Hallo,
ich hätte einmal eine Frage zur automatischen Anmeldung des DATEV Funktionsbenutzers für die Installationen (Client-Server). Evtl. kann DATEV hierzu etwas aussagen oder bestätigen:
-wenn am Windows PC der Anmeldebildschirm erscheint (der eigentliche Mitarbeiter ist noch nicht angemeldet d.h. im Moment ist kein Windowskonto angemeldet), erfolgen dann durch den DATEV Benutzer bestimmte Aktionen (z.B. alle 15 Sekunden prüfen ob ein Installationslauf o.ä. vorhanden ist).
-wenn hier solche Vorgänge passieren, werden diese über das NTLM Authentifizierungsverfahren durchgeführt?
-ist es möglich hier eine Umstellung auf Kerberos vorzunehmen
Der Hintergrund ist dass wir diesbezüglich Meldungen an der Firewall festgestellt haben. Vielleicht kann hier jemand etwas Klarheit schaffen.
Vielen Dank u Gruß
Matthias Sammel
Gelöst! Gehe zu Lösung.
Hi,
falls sich niemand meldet, sollte sich das selber testen lassen:
Option 1) Deaktiviere für einen Test-Client einfach NTLM ein- und ausgehend komplett und prüfe, was im Eventlog passiert. Auf der Firewall sollte von dem Client dann Ruhe sein.
Option 2) Pack den Installationsuser einmal testweise in die "Protected Users" Group. Dann siehst du, ob es dieser User war / ist.
Option 3) Deaktiviere an einem Test-Client nach und nach die DATEV Dienste bzw. auch Aufgaben in der Aufgabenplanung und prüfe, ob die Firewall weiterhin logt. Wenn es von der Installation kommen sollte, würde ich spontan erstmal auf den "DATEV Update-Service" Dienst tippen. Hiermit könntest du dem Dienst / der Aufgabe auf die Spur kommen.
Generell: Im AD _sollte_ per Default Kerberos gesprochen werden. Wenn hier jetzt irgendwas per IP oder außerhalb der Domäne / Gesamtstruktur (ohne Trust) adressiert wird, wäre das ein Fallback auf NTLM.
Hallo,
danke schon mal für die Tipps, das hilft schon mal weiter.
Ich würde jetzt mal vermuten das bei DATEV der Update Dienst vor der Anmeldung nicht über die IP geht, aber wer weiß. Evtl. wurde mail eine IP fest wo hinterlegt. Das würde zumindest in diese Richtigung deuten.
Gruß
Matthias
Das würde mich wiederum wundern, weil DATEV ohne sauber funktionierendes DNS mal so gar nicht läuft 😅. Da kann ich mir schlecht vorstellen, dass DATEV da tief intern irgendwo eine feste IP notiert hat. Wissen tue ich es aber nicht.
Sofern noch nicht geschehen, schmeiß entsprechendes Auditing an und die Eventlogs sollten mit dir sprechen. 🙂
Das sicherlich, mit einem fehlerhaften DNS hätten wir Probleme im DATEV, aber da können wir uns aktuell nicht beschwerden. Ich hoffe die Anfragen lassen sich aufklären.
Hallo Janm,
also im Log habe ich von einem PC (dieser war heute angeschaltetet aber zu dieser Zeit 8:15 Uhr noch nicht an Win angemeldet) diese Einträge.
Irgendein Dienst schickt vor der Windowsanmeldung per NTLM Anfragen an unseren DATEVSRV. Dies haben wir nur an DATEV PCs. Kann man dies noch genauer eingrenzen/zuordnen?
Gruß
Matthias
Der Abschnitt "Auditing for applications that do communicate over SMB" aus NTLM Blocking and You: Application Analysis and Auditing Methodologies in Windows 7 - Microsoft Community Hub
Oder halt DATEV Dienste auf dem Client deaktivieren und prüfen, ob es weiterhin auftritt. Wenn nicht die Hälfte der Dienste aktivieren und so weiter und so fort. Wenn das Deaktivieren der Dienste nicht hilft, die DATEV Aufgaben deaktivieren und analog weitermachen. 😉
Hallo, dann probiere ich das mal weiter. Danke.
Evtl. wäre auch umgekehrt eine Möglichkeit am Server die NTLM Authentifizierung zu deaktivieren und dann zu sehen ob es ein Problem gibt bzw. was überhaupt diese Aufrufe auslöste.
Es bleibt spannend.
Hallo,
es hat sich nun gezeigt dass der Dienst C:\PROGRAM FILES (X86)\DATEV\PROGRAMM\INSTALL\DvInesJournal.exe
die NTLM Anfragen an den DATEV Server schickt.
Weiß jemand ob dieser auf Kerberos Authentifizierung umgestellt werden kann?
Wenn die NTLM Anfragen am Server aus Sicherheitsgründen geblockt werden (Protected User), kann es dann sein dass eine Automatische Anmeldung bei einer netzweiten Installation nicht funktioniert.
Gruß
Matthias
@matthiass schrieb:
Weiß jemand ob dieser auf Kerberos Authentifizierung umgestellt werden kann?
Ich würde _vermuten_, dass es nicht geht, da es ansonsten wohl automatisch der Fall wäre / sein sollte.
Wenn die NTLM Anfragen am Server aus Sicherheitsgründen geblockt werden (Protected User), kann es dann sein dass eine Automatische Anmeldung bei einer netzweiten Installation nicht funktioniert.
Deaktiviere für einen Test-Client ein- und ausgehend NTLM und schmeiß eine netzweite Aktualisierung an. 😉
Wie viele Clients müsst Ihr denn netzweit aktualisieren? Sofern NTLM für die netzweite Aktualisierung zwingend benötigt wird, wäre ein Plan B aber auch schwierig..
(Wobei eine unbeaufsichtigte, angemeldete, privilegierte Session im Kontext "Security" generell "schwierig" ist. :-))
@janm schrieb:
[...]
(Wobei eine unbeaufsichtigte, angemeldete, privilegierte Session im Kontext "Security" generell "schwierig" ist. :-))
[...]
... macht es einen Unterschied, ob die Session für den relativ kurzen Zeitraum der Installation automatisch (für alle Clients gleichzeitig) oder nacheinander durch manuelles Login angemeldet und sofort anschließend wieder abgemeldet ist ?
... "schwierig" finde ich, wenn die Anmeldedaten in einem externen Tool gespeichert werden sollen/müssen
Ich hatte heute zum Test mal einen PC mit DATEV neu installiert, da ich dachte im Lauf der Installation macht er einen Neustart mit Auto.Anmeldung. Jedoch passierten die Neustarts nur bei der Plattforminstallation und hier ist die Auto.Anmeldung noch nicht aktiv. Bei der Installation der DATEV Anwendungen war der Automatische Neustart mit Anmeldung aktiviert, doch war für alle DATEV Programme kein weiterer Neustart nötig.
Somit hat dies leider keine Erkenntnis gebracht. Daher werde ich wahrscheinlich diese Woche wie von dir empfohlen mal die Netzweite Aktualisierung starten und einen PC NTLM blocken. Dann wäre es sicher klar.
Hallo @janm ,
also am Freitag hatte ich an zwei PCs die NTLM Anmeldung geblockt per Gruppenrichtlinie, dies sah dann so aus
Bei der anschließenden netzweiten Aktualisierung wurden die beiden PCs wie gewohnt ohne Unterschied mit aktualisiert. Die automatischen Anmeldungen wurden ausgeführt. Scheinbar springt hier der DATEV Update Dienst auf Kerberos automatisch um. Für uns heißt das, dass wir NTLM auf DATEV bezogen künftig Deaktivieren können.
Danke für deine Hinweise.
Gruß
Matthias
Moin,
coole Sache! Seht ihr in den Eventlogs (vermutlich auf den beiden Clients und später auch auf den Domain Controllern, wenn global deaktiviert) denn jetzt keine entsprechenden Warnungen oder versucht die "DvInesJournal.exe" jetzt tatsächlich gar kein NTLM mehr?
Wärend des Updates mit blockiertem NTLM hatte ich nur diesen einen Eintrag welcher auf DATEV deutet. Aber keinen mehr vom DATEV Update Dienst.
Die restlichen NTLM Einträge von der markierten Zeit sind von svchost.exe, constent.exe, lenovo.