cancel
Showing results for 
Search instead for 
Did you mean: 
Luvy
Level 7

Email and Web Security Appliance 5.6 y Windows 2008 R2 enterprise NTLM

Buenos dias a todos,

Tengo varios appliance virtuales de internet que deberian de autenticar a traves de mi active directory de w2008r2 ent. pero no lo hacen, anteriormente me funcionaba cuando tenia un ews 4.0 y windows 2003, resulta que estaba configurado con NTLM y active directory, quisiera tener algun documento que me guie paso a paso a configurarlo pero en 2008 r2, he visto en internet e incluso en mcafee.com y no logro encontrar algo acertado, los usuarios navegan con el usuario SCM_DEFAULT_USER, talvez alguna luz en este post.

0 Kudos
23 Replies
HermanSchenk
Level 11

Re: Email and Web Security Appliance 5.6 y Windows 2008 R2 enterprise NTLM

El principio del problema radica en que W2K8 ha cambiado sustancialmente NTLM auth , segun tengo entendido esta version utiliza una comunicacion encriptada en 128 bit, claro es posible cambiarla mediante GPOs y volverla a la vieja 40 o 56 bit, mas alla de esto estas utilizando en EWS 5.6 la opción que dice si falla al autenticación utilizar SCM_DEFAULT_USER y por eso sale ese usuario en los registros.

Mira hay que tomar una decision, si preferis entrar a los GPOs y modificar directivas o tal vez utilizar autenticación via Kerberos, si usas Kerberos en el post https://community.mcafee.com/message/171493#171493 encontraras la manera de hacerlo, Alex  Cameron paso un HotFix de MIcrosoft   que haria falta para que funcione perfectamente y yo he realizado los pasos resumidos que podes encontrar en el on line help del EWS.

Si queres seguir adelante con NTLM ok , estoy haciendo un R2 en estos momentos para ver como seria la cosa.

Si queres utilizar Kerberos y no funciona pasa los logs a este post y veremos como encontrar una solucion.

Saludos, HS.-

on 1/25/11 12:49:22 PM GMT-06:00
0 Kudos
Luvy
Level 7

Re: Email and Web Security Appliance 5.6 y Windows 2008 R2 enterprise NTLM

Ok. en el link de alex cameron no he encontrado el fix. la verdad a mi me es indiferente como autentico a los usuarios, hice los pasos de kerberos pero me da un error. Falta una entidad de seguridad en el archivo de tabla de clave. no tengo mucha experiencia en esto pero quisiera que pudiera ver a mis usuarios lo que navegan, para resolver este problema


Saludos,

0 Kudos
HermanSchenk
Level 11

Re: Email and Web Security Appliance 5.6 y Windows 2008 R2 enterprise NTLM

El HotFix puede solicitarlo a su proveedor (MIcrosoft) o descargarlo desde aca http://thehotfixshare.net/board/index.php?showtopic=9778

No me hago responsable de esta fuente.

Respecto al error mencionado ¿Podes enviar la sentencia completa (printscreen tal vez) de la secuencoa del ktpass? sincermante configurar esto es un dolor de cabeza, pero funciona!

Ahh me olvidaba no olvides

poner el FQDN en el asistente cuando indicas KDC hostname (ej: miserver.midominio.com)

tener registro DNS de tu EWS y su PRT asociado

tener en sincronia los relojes tabnto del server como del EWS!!

Te comento que en este lapso instale un DC R2 y lo pude hacer funcionar contra un EWV 5.6 osea que tiene que funcioanr!

Ojala funcione , saludos.

0 Kudos
Luvy
Level 7

Re: Email and Web Security Appliance 5.6 y Windows 2008 R2 enterprise NTLM

la verdad tengo varios meses de estar probando a configurarlo y no he podido, como te comente varios partner lo han querido configurar y no han podido. te puedo mandar fotos de mi ews virtual para que veas como va la secuencia, te cuento que aplique el hotfix pero me dice que no aplica a este servidor, en serio me urge resolver esto, por eso quiero ver como acelero la reparacion de este servidor

Te adjunto tambien las fotos del ews

El mensaje fue editado por: Luvy on 25/01/11 02:20:35 PM CST

El mensaje fue editado por: Luvy on 25/01/11 02:33:58 PM CST
0 Kudos
HermanSchenk
Level 11

Re: Email and Web Security Appliance 5.6 y Windows 2008 R2 enterprise NTLM

bueno Luvy por lo que veo en tu doc falta un paso ... una vez realizada la operacion "aparentemente" no estas importando el scm.keytab, si lo has hecho ¿cuual es el error que arroja?

0 Kudos
Luvy
Level 7

Re: Email and Web Security Appliance 5.6 y Windows 2008 R2 enterprise NTLM

El error que me muestra es falta una entidad de seguridad en el archivo de tabla clave. ahora sera necesario agregar kerberos a mi configuracion para que me muestre quien navega en internet?

0 Kudos
HermanSchenk
Level 11

Re: Email and Web Security Appliance 5.6 y Windows 2008 R2 enterprise NTLM

en realidad te sobra un metodo , es decir no deberian ir NTLM & Kerberos , o uno o el otro .no juntos

Mañana te hago un step by step hoy ya se mi hizo tarde

Otro tema;: te falta adjuntar el resultado del comando ktpass solo pusiste la linea de comandos...

El mensaje fue editado por: HermanSchenk on 25/01/11 15:12:48 GMT-06:00

El mensaje fue editado por: HermanSchenk on 25/01/11 15:14:23 GMT-06:00
0 Kudos
Luvy
Level 7

Re: Email and Web Security Appliance 5.6 y Windows 2008 R2 enterprise NTLM

pues al generar el scm.keytab no me da ningun error, es cuando subo el archivo al ews que me da el error, no se podria configurar solo con active directory (ldap) y que ahi me muestre a los usuarios que navegan?

0 Kudos
Troglobyte
Level 7

Re: Email and Web Security Appliance 5.6 y Windows 2008 R2 enterprise NTLM

el caso e que ldap no realiza una autenticacion transparente y significa que los usuarios deberan poner sus credenciales cada vez que accedan al web, el resultado del ktpass que le piden no eas el error en si, si no el resultado en si mismo.

0 Kudos