Toggle sidebar

Windows-Zugriff (SMB) ohne NLTM-Authentifizierung

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

D

D-Platoon

Benutzer
Registriert
04. Juli 2016
Beiträge
36
Reaktionspunkte
1
Punkte
8
Hallo zusammen,

ich habe seit einem Windows 11 Update das Problem, dass ich mittels Windows-Explorer nicht mehr auf meine DS423+ zugreifen kann - "Fehler beim der Authentifizierung, da die NTLM-Authentifizierung deaktiviert wurde".
Es handelt sich um ein Firmenlaptop. Ergo habe ich hier keine Admin-Rechte und kann keine Einstellungen anpassen. Von der IT bekomme ich logischerweise keine Unterstützung. Bei meinen privaten PC's habe ich keine Probleme.

Daher die Frage: Welchen anderen Weg gibt es, per Windows-Explorer auf die NAS zuzugreifen und nicht die NTLM-Autentifizierung zu verwenden?
 
Was steht denn in den Logs im DSM und in Win11?
Hast du mal alle gespeicherten Anmeldedaten zur DS in Win11 gelöscht?
Systemsteuerung\Benutzerkonten\Anmeldeinformationsverwaltung
Ich nutze auch einen Win11pro und habe null Probleme
 
Ja, das kann natürlich sein.
Ich würde mal die "alten" Anmeldeinfos löschen und über den Windows Explorer per IP verbinden: \\IPdeinerDS
 
Die Themen dazu hier im Forum habe ich schon gelesen. Die bringen mich nicht weiter, da ich NTLM über die Gruppenrichtlinie nicht wieder aktivieren kann.
Wie ich im Intranet gerade gelesen habe, ist NTLM unternehmensweit abgeschaltet.
Empfohlen wird Kerberos oder OAuth2. Ich habe aber keine Ahnung, wie ich das auf der Syno einbinde. Der OAuth-Service ist installiert, zeigt aber keinerlei Anwendungen an.
Es muss ja möglich sein, wenn NTLM jetzt als potentiell unsicher eingestuft wird, die SMB-Anbindung auf einer anderen Authentifizierungsmethode zu realisieren.
Hat jemand Ideen?
 
Ich habe mal ein wenig zum Thema gegoogelt. Für mich stellt sich das so dar:
NTLM ist tot, veraltet, unsicher. OAuth ist nicht der Nachfolger von NTLM, sondern Kerberos. OAuth ist eher was für die Authentifizierung gegenüber Web- oder Mail-Servern.
Synology hat die Kerberos-Authentifizierung wohl implementiert in ihrem "Synology Directory Server", der Nachbildung einer AD-Domain mit Samba. Daher ist dieser Dienst wohl Pflicht, wenn man von NTLM weg will/muss. Ich habe aber noch keine Ahnung, was man dann beim SMB-Service einstellen muss, damit dieser dann Kerberos anstatt NTLM benutzt. Soweit bin ich noch nicht. Vielleicht weiß ja einer von euch da schon mehr.
Bei Ugreen/UGOS bezweifle ich, dass die schon soweit sind.
 
Zuletzt bearbeitet:
Die steht bei mir auf auf nicht definiert?
1759752794613.png
 
Das ist aber die Client-Seite, also Windows. "Nicht definiert" als Policy bedeutet da soviel wie "OS-Default", also das, was beim jeweiligen Client-Betriebssystem der Standard ist. Da kann es durchaus sein, dass NTLM halt ab einem bestimmten Release nicht mehr der Standard ist. Aber auch der Server, also das NAS, muss dieses dann auch können.
 
Benares schrieb:
Ich habe mal ein wenig zum Thema gegoogelt. Für mich stellt sich das so dar:
NTLM ist tot, veraltet, unsicher. OAuth ist nicht der Nachfolger von NTLM, sondern Kerberos.
Zum Vergrößern anklicken....
So in etwa habe ich das über NTLM auch gelesen.
Dann eben Kerberos. AD-Server (was auch immer das ist) hört sich für mich erstmal recht komplex an. Ich bin zwar versierter Anwender, aber eben doch kein Experte auf dem Gebiet.

ctrlaltdelete schrieb:
Die steht bei mir auf auf nicht definiert?
Anhang anzeigen 108666
Zum Vergrößern anklicken....
Ich komme gar nicht an die Gruppenrichtlinien dran. Da kann ich also nix machen. An meinen privaten Rechnern ist das alles kein Problem.
Interessanterweise funktioniert der Synology Drive-Client auf besagtem Win11-Rechner. Scheinbar hat der eine andere Authentifizierungsmethode.
 
Ich habe mal bei mir nach den Gruppenrichtlinen geschaut und dabei die oben angegebenen Punkte kontrolliert. Eigentlich gibt es keine Abweichungen (ich habe lediglich bei meinem Haupt-PC die SMB-signierung eingeschaltet. Allerdings habe ich seit Win7 keine echte Neuinstallation durchgeführt sondern nur Inplace-Updates von Win7 auf Win10 und später von 10 auf 11 sowie später von 24H2 auf nun 25H2 (25H2 ging über normales Update).
Die Win11-VM auf dem NAS ist eine jungfräuliche Installation der 24H2 mit aktuellem Update auf 25H2 und da sind die Gruppenrichtlinien von mir nicht angefasst worden. Eben mein erstes Netzlaufwerk dort verbunden. Geht wie immer. Ordner auswählen, Anmeldedaten eintragen, verbinden - fertig.
 
gpedit.msc aufrufen darfst du auf deinem Firmen-PC also nicht? Verständlich.
Ja, Synology Drive verwendet da vermutlich wieder was anderes.

Edit: @Kaiser Wilhelm, ich bin auf meinem Haupt-PC noch bei Win10, Win11 hat mir nie gefallen. Ich habe aber Win11 auf einer VM, das scheint aber noch 23H2 zu sein, und er findet auch nix neueres. Auch da geht der Zugriff aufs NAS ohne Probleme.
 
Zuletzt bearbeitet:
Wäre vielleicht WebDav ein Alternative?
Hiermit kannst du auch ohne Adminrechte sehen, was in der Policy steht:
CommandLine:
gpresult /H %USERPROFILE%\gp.html

und dann unter "C:\Users\deinUser\gp.html" aufrufen
 
Per WebDAV kann ich ja nicht direkt auf Dokumenten schreiben, sondern muss die immer erst runterladen, verändern und dann wieder hochladen, oder bin ich da aufm falschen Dampfer?

Über die Kommandozeile komme ich auch nicht wirklich weiter. Das Dokument wird erstellt, es steht aber nichts drin.
Ich war auch kurz mit einem lokalen Adminkonto unterwegs. Da konnte ich die Gruppenrichtlinie zwar ändern, aber beim nächsten Öffnen war sie wieder überschrieben. Ich komme da also definitiv nicht dran. Ich will eigentlich auch nicht mehr als unbedingt nötig in den Unternehmensrichtlinien rumfroschen und es mir mit der IT nicht verscherzen.

Daher die Überlegung ob das nicht mit vertretbarem Aufwand über z.B. Kerberos hinzubekommen wäre.
 
  • Like
Reaktionen: ctrlaltdelete
Nein, weil du dazu das NAS in die Domain mit aufnehmen musst.
 
Okay, das wird in dem Fall wohl auch nichts.
Irgend ne andere Idee, wie es ohne NTLM mit dem Explorer klappen könnte?
 
Nein
 
Probier's mal wirklich über WebDAV

Ich hab da folgende Links auf meinem Desktop

1759763078140.png
mit folgenden Eigenschaften:
1759763172902.png

entstanden über "Netzwerkadresse hinzufügen", Ziel "https://ds1522:5006" oder "http://ds1522:5005", je nachdem, was konfiguriert ist.
 
Zuletzt bearbeitet:

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten