Alle Aktivitäten

@cj_berlin Das Ergebnis habe ich bekommen, also ich vom Member in berlin.local auf den Member in muenchen.local zugegriffen habe. Anderst herum, wurde es mit einem Fehler quittiert. Leider bisher nur die halbe Miete. So langsam gehen mir die Ideen aus. Ich werde mal das KDC-Logging auf den DCs einschalten. @daabm alles Beides doch "legacy" Konfiguration ⚙️(Domäne berlin.local) KDC - Kerberos Amoring -> Fail unamored authentication requests ⚙️(Domäne muenchen.local) KDC - Kerberos Amoring -> Supportet berlin.local -> muenchen.local ✅ muenchen.local -> berlin.local ❌ * muenchen.local -> berlin.local klist get cifs/lab02-srv-ber01.berlin.local Current LogonId is 0:0x673703 Error calling API LsaCallAuthenticationPackage (GetTicket substatus): 0x52e klist failed with 0xc000006d/-1073741715: The attempted logon is invalid. This is either due to a bad username or authentication information. * Screenshots Member muenchen.local * Screenshots Member muenchen.local

Ja, das sind die Tickets, und Du müsstest auch ein TGT von BERLIN ausgestellt im 0x3e7 Kontext auf lab02-srv-muc01 finden. Ist es schon im Enforced-Modus oder noch Supported? Denn wenn es schon im Enforced ist, bist Du ja so weit wie ich

DAS schaff ich mir drauf, wenn wir NTLM weg haben... It's a long way to the top, if you wanna rock'n'roll Ich glaub hier können sich nur wenige vorstellen, was für ein Aufwand es ist, überhaupt erst mal NTLM loszuwerden in einer Enterprise-Infrastruktur, in der sich niemand jemals darum gekümmert hat, daß DNS "Kerberos-freundlich" ist.

@daabm ich hab gerade kurz drübergelesen und gleich wieder aufgehört ... 2 Themen bekomme ich abends nicht mehr gebacken. Wenn du dich hier anschließt, dann bist du auf jeden Fall für das NEXT LEVEL auch gerüstet, wenn´s bei euch los geht @cj_berlin gehen die Tickets in die gewollte Richtung? #2> Client: adm-weis-ber @ BERLIN.LOCAL Server: cifs/lab02-srv-muc01.muenchen.local @ MUENCHEN.LOCAL KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96 Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize Start Time: 11/5/2025 10:24:02 (local) End Time: 11/5/2025 20:24:02 (local) Renew Time: 11/12/2025 10:22:11 (local) Session Key Type: AES-256-CTS-HMAC-SHA1-96 Cache Flags: 0x240 -> FAST DISABLE-TGT-DELEGATION Kdc Called: DC-MUC-ROOT.muenchen.local #3> Client: adm-weis-ber @ BERLIN.LOCAL Server: cifs/DC-MUC-ROOT.muenchen.local @ MUENCHEN.LOCAL KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96 Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize Start Time: 11/5/2025 10:22:39 (local) End Time: 11/5/2025 20:22:39 (local) Renew Time: 11/12/2025 10:22:11 (local) Session Key Type: AES-256-CTS-HMAC-SHA1-96 Cache Flags: 0x240 -> FAST DISABLE-TGT-DELEGATION Kdc Called: DC-MUC-ROOT.muenchen.local

@MurdocX wir sind froh, dass wir die Konzerninfrastruktur grad für Kerberos "überhaupt" ertüchtigt bekommen. Ist gar nicht so einfach wegen disjoint Namespaces und jeder Menge Domänen... Über Armoring möchte ich im Moment nicht mal ansatzweise nachdenken...

So, jetzt komme ich wieder zu unserem kleinen Projekt. Sehr schade zu hören, dass du nicht erfolgreich warst. Das wäre schon etwas bequem gewesen Die Erwartungen waren groß Das soll das Thema nicht schmälern, sondern gerade das gibt ihm jetzt die nötige Würze. Zugegebener Weise wirds jetzt hackelig. Ich bin auch nicht mehr der Wireshark-Profil. Mit gemeinsamen Kräften bekommen wir das aber hin. Und vielleicht lernen wir - und unsere Leser - auch was dabei Dann sind jetzt meine folgenden Steps: Wireshark installieren Tickets auf den DCs löschen Verbindung (intelligent) Filtern und stöbern @cj_berlin Gibt es deinerseits bestimmte Kerberos Rückmeldungen auf die ich achten sollte? Vielleicht möchten sich noch zusätzlich AD Sepezies anschließen? Ich will ja niemanden beim Namen nennen @daabm

OK, wenn ich den Artikel richtig verstanden habe ist das Problem nicht ursächlich im Server 2025, sondern diese Extensible Storage Engine und diesen Bug gibt es quasi schon immer oder zumindest schon sehr lange. Ist nur bisher nicht aufgefallen, weil die erst ab Server 2025 automatisch mit der größeren 32K Tabelle arbeiten, wo es dann zu diesem Fehler kommt. Bzw. weil das Exchange Setup einfach gnadenlos Werte schreibt, ohne zu prüfen ob es sie schon gibt.

naja ich habe einfach folgende GPOs gesetzt: Delegierung von gespeicherten Anmeldeinformationen zulassen Aktiviert TERMSRV/* Delegierung von gespeicherten Anmeldeinformationen mit reiner NTLM-Serverauthentifizierung zulassen Aktiviert TERMSRV/* Delegierung von Standardanmeldeinformationen mit reiner NTLM-Serverauthentifizierung zulassen. Aktiviert TERMSRV/* Delegierung von Standardanmeldeinformationen zulassen Aktiviert TERMSRV/* Im IIS des Brokers / Web habe ich die Windows Authentifizierung aktiviert und die anonyme Authentifizierung deaktiviert. Außerdem habe ich die Datei C:\Windows\Web\RDWeb\Pages\web.config bearbeitet und die entsprechenden Kommentare in der Datei abgearbeitet -> SSO bei Webzugriff funktioniert auch einwandfrei. Wenn ich den Feed in der Systemsteuerung hinzufügen will sagt er "Benutzername oder das Kennwort ist falsch". Mit den User Credentials kann ich mich dann aber anmelden. Edit: Zertifikat passt auf alle Fälle und enthält alle relevanten Servernamen edit2: In den IE-Zonen ist der Server https://[Servername-FQDN] als Zonenzuordnung 1 hinterlegt.

Hier hat noch jemand ein wenig geforscht und einen Artikel dazu verfasst: Active Directory – 32k pages DIT and the JET_bitSetUniqueMultiValues issue (The real Exchange Schema Issue) – Christoffer Andersson

Ich bewundere ihn schon nur für die Idee, das überhaupt zu versuchen. Aber wie ich sehe, hat er auch mal eben RDP in Rust implementiert...

Der Typ ist 'ne Maschine. Jetzt hat er noch Adam Driscoll gekauft...

(AwakeCoding ☀️💻 | Decompiling Hyper-V Manager to rebuild it from source)

Ich meine, es gibt nach wie vor https://www.hv-manager.org/ , aber das Ding speichert Passwörter im Klartext und so ...

Bezüglich des Acronis Cloud Manager (in welchem der 5nine Manager aufgegangen ist) habe ich mich vor einiger Zeit erkundigt. Er würde die Anforderungen erfüllen, sprengt aber wohl das Budget. Die Lizenz ist nur als Abo erhältlich und kostet um die 3000 Euro / Jahr für drei Hosts. Hyper-V ist nicht mehr der Fokus. Die Lösung eignet sich für die Verwaltung mehrerer Clouds. Man kann damit VMs von AWS zu Azure verschieben etc. Ich suche weiterhin nach einer Funktionalität, wie sie der 5nine Manager geboten hat (und zu einem ähnlichen Preis).

Der gezeigte Code ist unter https://github.com/psconfeu/2023/tree/main/EvgenijSmirnov/JEAonHyperV für alle Ewigkeit zu finden. Das Projekt-Repo habe uich dann beerdigt, weil sie WAC kaputt gemacht haben. Aber wenn es nur um Funktionalität geht ("sie sollen nur VMs starten/stoppen können, aber alle, die auf dem Host registriert sind"), ist es einfachstes JEA. Allerdings gibt es eine Funktionalität, die man auf die Weise nicht bekommt, und das ist der Zugriff auf die Konsole der VMs. Da muss der User mindestens Hyper-V Admin sein.

Moin, also, wenn wir bei Vorträgen sind - vor langer Zeit habe ich mal einen Vortrag zu JEA gehalten, der ziemlich genau die oben genannten Anforderungen abdeckte. Ich weiß nicht mehr, ob der aufgezeichnet worden ist; es war auf einer der "CLoud & Datacenter"-Konferenzen. Und ich würde behaupten, dass das Beispiel auch in dem Rheinwerk-Buch behandelt wird ... ... ja, wird es, und zwar in Kapitel 3.7.8 - das habe ich seinerzeit geschrieben. Also, wenn es wirklich nur diese Anforderungen sind, dann kann das eine Alternative zu einem kommerziellen Tool sein. Gruß, Nils

Moin, hast Du eine bestimmte Anleitung befolgt? (nur damit wir nicht jeden Schritt einzeln abfragen müssen...)

@MurdocX übrigens ist der Test "auf \\domain.name als PU-Member zugreifen" kein guter, der wird immer scheitern, denn es ist ja nicht möglich, den von Dir zitierten SPN auf mehr als einem DC zu registrieren. Wir hatten vor ein paar Monaten einen Thread dazu, den ich gerade nicht finde. \\domain.name\SYSVOL ist kein Thema, denn dann ist der DFS-N-Zauber erledigt und die Verbindung geht auf \\einer-der-dcs.domain.name\SYSVOL, wo der SPN dann existiert. Explorer-Zugriff auf \\domain.name ist nur mit NTLM möglich - es sei denn, die Domäne hat nur einen DC, auf dem man dann den SPN cifs/domain.name zusätzlich registriert - dann geht auch Kerberos.

Ist jetzt zumindest seitens MS bestätigt und gefixed bzw. muss es evtl. per KIR gefixed werden: Windows 10, version 22H2 known issues and notifications | Microsoft Learn

Danke für alle Antworten bisher. NilsK, die Scripte schaue ich mir an. Deinen Vortrag habe ich mir nun gegeben. Du verweist am Ende auf dein Projekt-Repo, das die Zeit bis heute wohl nicht überlebt hat. Ist es obsolet geworden oder gab es andere Gründe, es zu löschen/migrieren? Carsten Rachfahl hat hier gezeigt, wozu er den 5nine Manager einsetzt, das Tool kann eine ganze Menge: https://www.hyper-v-server.de/management/5nine-manager-zur-administration-von-hyper-v/ Leider beschreibt er nicht, ob 5nine unsere Anforderung auch abbildet. Ich werde ihn am besten diesbzgl. kontaktieren und konkret nachfragen. MfG dw

I spoke too soon :-( Bei systematischem Testen, auf 2022, konnte ich die Situation nicht herbeiführen, dass sich ein User aus BRAVO, der dort in Protected Users ist, nicht in ALPHA interaktiv anmelden oder auf dortige Fileserver über SMB zugreifen könnte. Funktioniert alles einwandfrei. Meine Ideen waren: in dem Lab ist standardmäßig die Windows-Firewall auf "aktiv, aber offen" gesetzt --> das Rückführen auf Default-Regeln hat keine Änderung bewirkt in dem Lab ist (aus Performance- und Mimikatz-Gründen) Defender deaktiviert --> das Aktivieren inkl. Runtime-Protection hat keine Änderung gebracht alle VMs sind mit der gleichen unattend.inf gesysprepped, somit ist das Admin-Passwort bei allen gleich --> das Ändern des Admin-Passworts in allen Domänen und auf allen Members auf jeweils unterschiedliche Werte hat keine Änderung gebracht auf allen DCs war das DSRM-Kennwort ursprünglich identisch gesetzt (das schien die Bombe zu sein) --> das Ändern auf jeweils unterschiedliche Werte inkl. Reboot, Ticket Purge, Reboot hat keine Änderung gebracht Jetzt bleibt (euch) tatsächlich nur Loggen und Sniffen, denn ich kann's nach bestem Bemühen NICHT nachstellen.

Moin, zu der Scripting-Aufgabe für die Übersicht werfe ich mal mein seit vielen Jahren fertiges Script in den Ring. [Get-HyperVInventory: New Download Source is Here | faq-o-matic.net] https://www.faq-o-matic.net/2020/12/23/get-hypervinventory-new-download-source-is-here/ Gruß, Nils

Hallo, wir bauen grade unsere neue RDS Struktur auf ... SSO auf den Webaccess funktioniert ohne Probleme (ohne Login im Webaccess, RDP Verbindung ohne Eingabe von Credentials). Was jedoch nicht funktioniert ist die Einbindung in der Systemsteuerung unter RemoteAPPs , dort bekomme ich immer die Meldung "Benutzername und Kennwort falsch" und der Credentials Screen kommt. Dort kann ich mich mit den User Credentials anmelden und die RemoteAPPs werden angezeigt. Aber wie bekomme ich diesen Fehler noch weg? Habe schon einiges gelesen und versucht aber bisher keine Lösung finden können Client Windows 11, Server (Broker, Web, Lizenz) Server 2025

Super, danke für die schnelle Antwort. Da ja nach dem Update die alte Datenbank nicht mehr benötigt bzw. aktiv verwendet wird sollte das in dem Fall nicht so problematisch sein. Es wird, wie ich es verstanden habe, nur während der Migration zusätzliche DBs geben, danach sollte das wieder so laufen wie bisher.