事件ID6038，Microsoft Windows Server 检测到客户端与此服务器之间当前正在使用 NTLM 身份验证告警是什么原因

Question

 Microsoft Windows Server 检测到客户端与此服务器之间当前正在使用 NTLM 身份验证。当客户端与此服务器之间第一次使用 NTLM 时，每次启动服务器都会发生此事件。 NTLM 是一种较弱的身份验证机制。

Answer 1

尊敬的客户，您好！

感谢您在 Q&A 论坛上发帖。

默认情况下，Windows Server 不会报告 NTLM 请求的来源，因此需要启用审核。似乎某些应用程序或某些设备正在发送 NTLM 请求，并记录了事件以通知 NTLM 使用情况，对于此调查，我们必须启用审核，您可根据链接打开NTLM 审核。

参考链接：Audit use of NTLMv1 on a domain controller - Windows Server | Microsoft Learn

 

我希望以上信息对您有所帮助。

如果您有任何问题或疑虑，请随时告诉我们。

Best Regards,
Daisy Zhou

============================================

如果答案有帮助，请点击“接受答案”并投赞成票。