Kerberos E-Types

[fluehmann 10]

Hallo zusammen

 

Seit dem Einsatz von Server 2008R2 Domain Controllern gibt es bei uns Probleme bei Kerberos Ticket Anforderungen. Es wird folgendes auf den 2008R2 Dcs geloggt:

 

Log Name: System

Source: Microsoft-Windows-Kerberos-Key-Distribution-Center

Date: 18.09.2009 10:56:58

Event ID: 27

Task Category: None

Level: Error

Keywords: Classic

User: N/A

Computer: Domian Controller 2008R2

Description:

While processing a TGS request for the target server krbtgt/domain.ch, the account user@domain.ch did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 10).

The requested etypes were 3 1. The accounts available etypes were 18 17 23 -133 -128 24 -135.

 

 

 

Meine Fragen dazu:

 

Werden ältere Kerberos Encryption Types bei R2 nicht mehr unterstützt,

oder welche werden noch unterstützt?

 

Kennt jemand eine Übersetzung der etypes, bzw. welche Verschlüsselung sind die Zahlencodes im Error (ist so ein wenig schwierig das ganze zu debuggen)?

 

 

Freundliche Grüsse

fluehmann

[olc 18]

Hi,

 

schau einmal hier hinein, unter Umständen kannst Du die Encryption Types verändern: Changes in Kerberos Authentication

 

Alternativ ist es einen Versuch wert, den Computer- oder Useraccount Kennwort zurückzusetzen - das kann jedoch je nach System einen Domänen-Rejoin notwendig machen.

 

Was sind denn das für Accounts, die die Anforderungen senden? Schlägt dann die Kerberos Authentifizierung fehl oder was passiert genau (außer den Fehlermeldungen)?

 

Viele Grüße

olc

[fluehmann 10]

Vielen Dank für den Link!

 

Es sind Teils ganz normale AD Accounts, teils Accounts die über einen Unix Kerberos Realm Trust authentifiziert werden (PAM LDAP Modul)

 

Die Ticket Anforderung schlägt mit einem 4769 fehl:

 

 

Log Name: Security

Source: Microsoft-Windows-Security-Auditing

Date: 18.09.2009 10:56:58

Event ID: 4769

Task Category: Kerberos Service Ticket Operations

Level: Information

Keywords: Audit Failure

User: N/A

Computer: Domaincontroller R2

Description:

A Kerberos service ticket was requested.

 

Account Information:

Account Name: user@domain.ch

Account Domain: domain.ch

Logon GUID: {00000000-0000-0000-0000-000000000000}

 

Service Information:

Service Name: krbtgt/DOMAIN.CH

Service ID: NULL SID

 

Network Information:

Client Address: IP Addresse

Client Port: 33565

 

Additional Information:

Ticket Options: 0x40000000

Ticket Encryption Type: 0xffffffff

Failure Code: 0xe

Transited Services: -

 

0xe = laut RFC 4120 (KDC has no support for encryption type)

 

 

Ich habe dan mal per GPO folgende Policy gesetzt:

Network security: Configure encryption types allowed for Kerberos Enabled

DES_CBC_CRC Enabled

DES_CBC_MD5 Enabled

RC4_HMAC_MD5 Enabled

AES128_HMAC_SHA1 Enabled

AES256_HMAC_SHA1 Enabled

Future encryption types Disabled

 

Danch kam die Meldung:

 

Log Name: System

Source: Microsoft-Windows-Kerberos-Key-Distribution-Center

Date: 18.09.2009 13:36:15

Event ID: 16

Task Category: None

Level: Error

Keywords: Classic

User: N/A

Computer: Domaincontroller R2

Description:

While processing a TGS request for the target server krbtgt/DOMAIN.CH, the account user@domain.ch did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 10).

The requested etypes were 3 1. The accounts available etypes were 18 17 23 -133 -128 24 -135. Changing or resetting the password of Domain.CH will generate a proper key.

 

Heeeee, jetzt soll noch das Password resettet werden?

 

Jetzt kommt das Lustige:

Die GPO entfernt, Server neu gobootet, und es werden ganz normal Kerberos Tickets ausgestellt (Keine Fehlermeldungen egal ob direkt in AD oder per REALM authentifiziert wird)

 

Keine Ahnung was da passiert ist???

 

Gruss

fluehmann

[olc 18]

Hi,

 

den "password reset" hatte ich ja oben vorgeschlagen. Nur merkwürdig, daß es nach dem Entfernen der Policy ohne weitere Aktionen wieder klappt. :suspect:

 

D.h. die Probleme sind damit verschwunden?

 

Viele Grüße

olc

[fluehmann 10]

Hallo olc

 

Das wäre ja total nicht schön, wenn die Passwörter resettet werden müssten.

Oder, wieso müssten diese überhaupt resettet werden?

 

Jepp, die Probleme sind nun verschwunden....

 

 

A Kerberos authentication ticket (TGT) was requested.

 

Account Information:

Account Name: user

Supplied Realm Name: DOMAIN.CH

User ID: Domain\user

 

Service Information:

Service Name: krbtgt

Service ID: Domain\krbtgt

 

Network Information:

Client Address: IP

Client Port: 54660

 

Additional Information:

Ticket Options: 0x40000010

Result Code: 0x0

Ticket Encryption Type: 0x12

Pre-Authentication Type: 0

 

Certificate Information:

Certificate Issuer Name:

Certificate Serial Number:

Certificate Thumbprint:

 

Certificate information is only provided if a certificate was used for pre-authentication.

 

Pre-authentication types, ticket options, encryption types and result codes are defined in RFC 4120.

 

 

Grüsse

fluehmann

[olc 18]

Hi,

 

wenn der Fehler nicht mehr auftritt, brauchst Du die Kennwörter auch nicht mehr ändern. :)

Je nach System ist das vielleicht in der Zwischenzeit, in der die Kerberos eType Richtlinie verändert war, vielleicht automatisch schon passiert.

 

Das könntest Du bei Interesse noch herausfinden, indem Du per "repadmin /showobjmeta DC_NAME DN=konto,OU=OU,DC=domain,DC=tld" das Attribut "pwdLastSet" prüfst. Wenn der Zeitraum der letzten Änderung im Zeitrahmen der Policy Änderung ist, hast Du die Erklärung. :)

 

Viele Grüße

olc

[fluehmann 10]

Hi olc

 

Vielen Dank für deine Infos. Das DC-Konto pwd wurde vor dem Anwenden der Policy geändert.

 

Habe da noch ein wenig nachgeforscht. Mit der Policy sieht das ganze so aus:

 

Policy: Network security: Configure encryption types allowed for Kerberos

 

Local Grpup Policy Setting:

 

Server in Workgroup: Not Defined

Server Domainmember: Not Defined

Als DC hochgestuft: Not Defined

 

Dann ein GPO mit der Policy auf Ou Domain Controllers gelinkt und gpudate /force.

Local Grpup Policy Setting: Enabled

 

Dann die GPO mit der Policy von Ou Domain Controllers entfernt und gpudate /force.

Local Grpup Policy Setting: Enabled

 

Dann Server neu gestartet:

Local Grpup Policy Setting: immer noch Enabled

 

Die Policy bleibt also in der Local Group Policy vorhanden. Anscheinend hat der Neustart dazu geführt dass die Fehlermeldungen verschwanden....

 

Gruss

fluehmann

[olc 18]

Hi,

 

Vielen Dank für deine Infos. Das DC-Konto pwd wurde vor dem Anwenden der Policy geändert.

 

Die sind nicht relevant in Bezug auf meine Frage ;), sondern Du müßtest Dir die Konten der betroffenen Clients anschauen. Aber Du mußt Dich beeilen, die Kennwörter ändern sich im Normalfall zyklisch (zumindest bei den Windows Systemen).

 

Viele Grüße

olc

[fluehmann 10]

Das Problem lag bei Usern die Kerberos Tickets anforderten und nicht bei Clients.

 

Gruss

fluehmann

[olc 18]

:D :D :D

 

Dann schau bei den Benutzern auf die Metadaten. ;)

 

Jedoch sind die Client trotzdem relevant, ohne deren Vertrauensstellung kann sich auch kein Benutzer authentifizieren. Von daher würde ich beides anschauen.

 

Aber es funktioniert ja wieder, von daher sind die weiteren Aktionen "nur noch" Ursachenforschung.

 

Viele Grüße

olc

[fluehmann 10]

Ok werde ich machen. :cool::cool:

 

Ich werde die Sache nun wirklich mal stehen lassen, es gibt ja noch viel anderes zu tun. :D

 

Und vielleicht stellt sich mal ne Gelegenheit sich mehr in den ganzen Kerberos Bereich einarbeiten zu können (spannendes Thema).

 

Ein freundlicher Gruss

fluehmann

[fluehmann 10]

Es hängt zwar zusammen mit eienm 2008 R2 DC der in eine 2003 Domain gejoint wird, möchte aber trotzdem hier noch folgende Hotfix Informationen anfügen:

 

FIX: User accounts that use DES encryption for Kerberos authentication types cannot be authenticated in a Windows Server 2003 domain after a Windows Server 2008 R2 domain controller joins the domain