ITよろづや

ITから生活の参考になる情報を備忘録代わりに残していきます

ドメイン環境でNetlogonサービスを無効にした場合の影響

ドメイン環境でNetlogonサービスを無効にした場合の影響について、先日のNetlogonの脆弱性を受けてでしょうか、無効にしてもドメインに参加できたという内容がフォーラムにあがっていて、今一度、このサービスについて気になったので、とりあげてみました。

 

「引用元」

ドメイン環境下における NetLogon の必要性について

https://social.technet.microsoft.com/Forums/ja-JP/2c7ab970-43ca-4a72-831b-912b4e45711d/-netlogon-?forum=activedirectoryja

 

質問内容の一部抜粋です。

 

これまでドメイン環境下では NetLogon サービスは必須と思っていました。
ところが、予想に反して、クライアント側の NetLogon サービスを無効にしてもドメインにログインができました。
パケットレベルで確認したところ、PC 起動時に以下の流れで認証が行われていましたが、NetLogon サービスを無効にした場合、3 の RPC_NETLOGON の過程が抜け落ちていました。

1. DNS による SRV レコード問い合わせ
2. LDAP(CLDAP)によるオブジェクトの問い合わせ
3. RPC_NETLOGON による認証
4. SMB ネゴシエーション
5. Kerberos 認証

NetLogon がなくてもログインできるのであれば、そもそも何のために行っているのでしょうか。

よく、PC 起動時にコンピューターアカウントで DC に認証する、という解説を見かけますが、これは Kerberos 認証において cname=コンピューター名, sname=krbtgt で認証することを指していると思っていましたが、そうするとやはり NetLogon は不要という理解になってしまいます。

 

 

続いて回答です。

 

この件ですが、NetLogonはクライアントとのセキュアチャネルの確立、ドメインコントローラー間のActive Directory複製に必要な内容となります。MSRPCを使う場合は必須と考えられますので、NTLM認証(ダウンレベル認証含む)や後続動作となる「Name Translation」動作に影響が出ると思います。動作の詳細については、最後に紹介する資料にありますので、確認してください。

問題なくログオンできた、ということですが、本当に問題なかったのでしょうか?Kerborosチケット(システムアカウント周りも含め)やコンピューターグループポリシー適用など、問題が起こっている可能性がありますので、キチンと確認してください。ユーザーログオンならキャッシュでもログオンは可能です。

単なる技術的興味ならよいのですが、検証結果を持って「NetLogonを不要サービスと断ずる」といった解釈は避けてください。マイクロソフトはこの解釈をサポートしません。~

 

なるほどですね。表面上問題なく見えていても、裏で問題が発生している可能性があるかもしれませんね。

 

そして、参考のURLです。

Windows 2000 Startup and Logon Traffic Analysis | Microsoft Docs

 

Windows 2000の起動およびログオンプロセスでは、NetlogonおよびDirectory Replication Service(DRS)インターフェイスを使用します。Netlogonインターフェースは、クライアントとドメイン内のドメインコントローラー間の安全な通信チャネルを確立するために使用されます。ディレクトレプリケーションサービスは、主にドメインコントローラーとグローバルカタログサーバー間の通信に使用されます。ただし、ログオンプロセス中に使用されるインターフェイスは提供されます。DRSは、名前をLDAPで使用可能な形式に変換する方法を提供します。

 

Netlogonサービスはクライアントとドメイン内のドメインコントローラー間の安全な通信チャネルを確立するために使用されるため、必須のようですね。参考になりました。

 

Anker Eufy RoboVac 15C(ロボット掃除機)【BoostIQ搭載/Wi-Fi対応/超薄型 / 1300Paの強力吸引 / 静音設計/自動充電】(ホワイト)