Hi,

falls sich niemand meldet, sollte sich das selber testen lassen:

Option 1) Deaktiviere für einen Test-Client einfach NTLM ein- und ausgehend komplett und prüfe, was im Eventlog passiert. Auf der Firewall sollte von dem Client dann Ruhe sein.

Option 2) Pack den Installationsuser einmal testweise in die "Protected Users" Group. Dann siehst du, ob es dieser User war / ist.

Option 3) Deaktiviere an einem Test-Client nach und nach die DATEV Dienste bzw. auch Aufgaben in der Aufgabenplanung und prüfe, ob die Firewall weiterhin logt. Wenn es von der Installation kommen sollte, würde ich spontan erstmal auf den "DATEV Update-Service" Dienst tippen. Hiermit könntest du dem Dienst / der Aufgabe auf die Spur kommen.

Generell: Im AD _sollte_ per Default Kerberos gesprochen werden. Wenn hier jetzt irgendwas per IP oder außerhalb der Domäne / Gesamtstruktur (ohne Trust) adressiert wird, wäre das ein Fallback auf NTLM.

Hallo,

danke schon mal für die Tipps, das hilft schon mal weiter.

Ich würde jetzt mal vermuten das bei DATEV der Update Dienst vor der Anmeldung nicht über die IP geht, aber wer weiß. Evtl. wurde mail eine IP fest wo hinterlegt. Das würde zumindest in diese Richtigung deuten.

Gruß

Matthias

Das würde mich wiederum wundern, weil DATEV ohne sauber funktionierendes DNS mal so gar nicht läuft 😅. Da kann ich mir schlecht vorstellen, dass DATEV da tief intern irgendwo eine feste IP notiert hat. Wissen tue ich es aber nicht.  

Sofern noch nicht geschehen, schmeiß entsprechendes Auditing an und die Eventlogs sollten mit dir sprechen. 🙂

Das sicherlich, mit einem fehlerhaften DNS hätten wir Probleme im DATEV, aber da können wir uns aktuell nicht beschwerden. Ich hoffe die Anfragen lassen sich aufklären.

Hallo Janm,

also im Log habe ich von einem PC (dieser war heute angeschaltetet aber zu dieser Zeit 8:15 Uhr noch nicht an Win angemeldet) diese Einträge.

Irgendein Dienst schickt vor der Windowsanmeldung per NTLM Anfragen an unseren DATEVSRV. Dies haben wir nur an DATEV PCs. Kann man dies noch genauer eingrenzen/zuordnen?

Gruß

Matthias

Der Abschnitt "Auditing for applications that do communicate over SMB" aus NTLM Blocking and You: Application Analysis and Auditing Methodologies in Windows 7 - Microsoft Community Hub

Oder halt DATEV Dienste auf dem Client deaktivieren und prüfen, ob es weiterhin auftritt. Wenn nicht die Hälfte der Dienste aktivieren und so weiter und so fort. Wenn das Deaktivieren der Dienste nicht hilft, die DATEV Aufgaben deaktivieren und analog weitermachen. 😉

Hallo, dann probiere ich das mal weiter. Danke.

Evtl. wäre auch umgekehrt eine Möglichkeit am Server die NTLM Authentifizierung zu deaktivieren und dann zu sehen ob es ein Problem gibt bzw. was überhaupt diese Aufrufe auslöste.

Es bleibt spannend.

Hallo,

es hat sich nun gezeigt dass der Dienst C:\PROGRAM FILES (X86)\DATEV\PROGRAMM\INSTALL\DvInesJournal.exe

die NTLM Anfragen an den DATEV Server schickt.

Weiß jemand ob dieser auf Kerberos Authentifizierung umgestellt werden kann?

Wenn die NTLM Anfragen am Server aus Sicherheitsgründen geblockt werden (Protected User), kann es dann sein dass eine Automatische Anmeldung bei einer netzweiten Installation nicht funktioniert.

Gruß

Matthias

---

@janm schrieb:
[...]
(Wobei eine unbeaufsichtigte, angemeldete, privilegierte Session im Kontext "Security" generell "schwierig" ist. :-))
[...]

---

... macht es einen Unterschied, ob die Session für den relativ kurzen Zeitraum der Installation automatisch (für alle Clients gleichzeitig) oder nacheinander durch manuelles Login angemeldet und sofort anschließend wieder abgemeldet ist ?

... "schwierig" finde ich, wenn die Anmeldedaten in einem externen Tool gespeichert werden sollen/müssen

Ich hatte heute zum Test mal einen PC mit DATEV neu installiert, da ich dachte im Lauf der Installation macht er einen Neustart mit Auto.Anmeldung. Jedoch passierten die Neustarts nur bei der Plattforminstallation und hier ist die Auto.Anmeldung noch nicht aktiv. Bei der Installation der DATEV Anwendungen war der Automatische Neustart mit Anmeldung aktiviert, doch war für alle DATEV Programme kein weiterer Neustart nötig.

Somit hat dies leider keine Erkenntnis gebracht. Daher werde ich wahrscheinlich diese Woche wie von dir empfohlen mal die Netzweite Aktualisierung starten und einen PC NTLM blocken. Dann wäre es sicher klar.

Hallo @janm ,

also am Freitag hatte ich an zwei PCs die NTLM Anmeldung geblockt per Gruppenrichtlinie, dies sah dann so aus

Bei der anschließenden netzweiten Aktualisierung wurden die beiden PCs wie gewohnt ohne Unterschied mit aktualisiert. Die automatischen Anmeldungen wurden ausgeführt. Scheinbar springt hier der DATEV Update Dienst auf Kerberos automatisch um. Für uns heißt das, dass wir NTLM auf DATEV bezogen künftig Deaktivieren können.

Danke für deine Hinweise.

Gruß

Matthias

Moin,

coole Sache! Seht ihr in den Eventlogs (vermutlich auf den beiden Clients und später auch auf den Domain Controllern, wenn global deaktiviert) denn jetzt keine entsprechenden Warnungen oder versucht die "DvInesJournal.exe" jetzt tatsächlich gar kein NTLM mehr?

Wärend des Updates mit blockiertem NTLM hatte ich nur diesen einen Eintrag welcher auf DATEV deutet. Aber keinen mehr vom DATEV Update Dienst.

Die restlichen NTLM Einträge von der markierten Zeit sind von svchost.exe, constent.exe, lenovo.