Jump to content
Dieses Thema

RODC - Fehlermeldung krbtgt-Konto

RalphT

Von RalphT
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

RalphT Mentor

RalphT   15

Geschrieben
Geschrieben

Moin,

 

ich hatte in einer Zweigstelle neben einem DC 2019 einen RODC aufgesetzt. Derzeit laufen noch beide Server parallel. Seit einiger Zeit gibt es die folgende Meldung im DC:

  

Die Signatur auf dem PAC von krbtgt_1234 konnte vom KDC während der TGS-Verarbeitung nicht verifiziert werden. Dies deutet darauf hin, dass das PAC verändert wurde.

 

Bislang habe ich noch keine Lösung dazu gefunden.

zahni Grand Master

zahni   587

Geschrieben
Geschrieben (bearbeitet)

Siehe auch:

https://support.microsoft.com/en-gb/topic/kb5037754-how-to-manage-pac-validation-changes-related-to-cve-2024-26248-and-cve-2024-29056-6e661d4f-799a-4217-b948-be0a1943fef1

 

Es kann nicht schaden, bei dem Konto ein neues Kennwort zu setzen. Welches ist egal. Schön lang und man muss es sich nicht merken. Damit werden alle ausgestellten Tickets ungültig.

bearbeitet von zahni
NilsK Grand Master

NilsK   3.021

Geschrieben
Geschrieben

Moin,

 

  Am 9.9.2024 um 11:36 schrieb RalphT:

Der eine DC soll abgeschaltet werden. Es soll dann nur noch der RODC in der Zweigstelle laufen.

Mehr  

 

hm. Würde ich eher nicht so machen, kann aber vom Vorgehen her funktionieren, wenn man weiß, was man tut. Aber: Da meiner Erfahrung nach ein RODC "in echt" fast nie sinnvoll ist, würde ich das Konzept prüfen, ob ein RODC wirklich eine sinnvolle Lösung für das Problem (das ich ja nicht kenne) ist.

 

  Am 9.9.2024 um 11:36 schrieb RalphT:

Die lautet 18.

Mehr  

 

Die Nummer wird in dem KB-Artikel nicht genannt, aber es klingt schon deutlich so, als wäre das dort beschriebene Update der Grund. Ich würde das mal durcharbeiten.

 

  Am 9.9.2024 um 11:33 schrieb zahni:

Hast echt, man muss es mindestens 2x ändern:

Mehr  

 

Das meine ich nicht. ;-)

Du schrobst: "Es kann schaden, bei dem Konto ein neues Kennwort zu setzen." Zwar ist das sicher auch nicht völlig falsch, aber ich vermute, dass du eigentlich das Gegenteil sagen wolltest. Daher meine Nachfrage.

 

Gruß, Nils

PS. hier noch das fehlende R: R.

 

RalphT Mentor

RalphT   15

Geschrieben
  • Autor
Geschrieben (bearbeitet)
  Am 9.9.2024 um 11:54 schrieb NilsK:

hm. Würde ich eher nicht so machen, kann aber vom Vorgehen her funktionieren, wenn man weiß, was man tut. Aber: Da meiner Erfahrung nach ein RODC "in echt" fast nie sinnvoll ist, würde ich das Konzept prüfen, ob ein RODC wirklich eine sinnvolle Lösung für das Problem (das ich ja nicht kenne) ist.

Mehr  

 

Das hatte man mir empfohlen. Als Sicherheitsmaßnahme. Ich gebe zu, dass ich vorher noch nie mit einem RODC rumhantiert habe. Bislang läuft ja noch der DC.

Da ich auch beim googlen Beiträge zu diesem Szenario gefunden habe, dachte ich, dass dieses Vorgehen schon ok ist.

  

https://www.ip-insider.de/so-betreiben-sie-schreibgeschuetzte-domaenencontroller-a-f559470f963357cd5c8584b8fb8afb12/

 

Warum würdest du das nicht empfehlen?

bearbeitet von RalphT
NilsK Grand Master

NilsK   3.021

Geschrieben
Geschrieben (bearbeitet)

Moin,

 

weil es meist nicht zum Gesamtaufbau passt, wenn man es sich näher ansieht. Das würde ich jetzt aber nicht anhand deiner Umgebung in einem öffentlichen Forum diskutieren wollen, weil du damit zu viel preisgeben müsstest.

 

Die Grundidee des RODC finde ich nachvollziehbar, aber sie passt eben in der echten Welt höchst selten, weil zu viel um den RODC drumrum ist, was seinen Einsatz unsinnig macht.

 

Gruß, Nils

PS. ... und ich will kein plattes Bashing betreiben, aber auf Artikeln von Thomas Joos würde ich keine Entscheidung aufbauen.

 

bearbeitet von NilsK
  • Haha 1
RalphT Mentor

RalphT   15

Geschrieben
  • Autor
Geschrieben (bearbeitet)
  Am 9.9.2024 um 12:02 schrieb testperson:

wie hoch ist denn die Gefahr, dass jemand in die Zweigstelle kommt und den RODC klaut bzw. die Hardware klaut, auf der der RODC läuft?

Mehr  

Ungefähr so ähnlich wie in der Hauptzentrale. Ja diesen Grund hatte ich schon öfters gelesen. Wie würde das bei einem Angriff über der Firewall der Zweigstelle aussehen? Dann hätten die Angreifer ja erst mal einen RODC vor sich. Ok, natürlich existiert ein Tunnel zur Zentrale, wo die DCs stehen.

 

Dieses Thema muss ich jetzt hier nicht durchpeitschen. Es war halt nur eine Empfehlung. Vielleicht sollte ich das mal in in einer Testungebung für mich aufbauen und dann in aller Ruhe schauen. Diesen RODC könnte ich ja wieder aus der Domäne entfernen.

bearbeitet von RalphT
NilsK Grand Master

NilsK   3.021

Geschrieben
Geschrieben

Moin,

 

  Am 9.9.2024 um 12:12 schrieb RalphT:

Wie würde das bei einem Angriff über der Firewall der Zweigstelle aussehen? Dann hätten die Angreifer ja erst mal einen RODC vor sich.

Mehr  

 

für dieses Szenario ist ein RODC gar nicht gedacht. Bei so einem Angriff gibt es in aller Regel andere Möglichkeiten bzw. Einschränkungen.

 

  Am 9.9.2024 um 12:12 schrieb RalphT:

Ok, natürlich existiert ein Tunnel zur Zentrale, wo die DCs stehen.

Mehr  

 

Und das wäre schon eine der Sachen, die man bei einem näheren Blick dann feststellt. Wahrscheinlich ist der Standort gar nicht so eine Insel, wie er mit einem RODC konzeptionell gemeint ist.

 

  Am 9.9.2024 um 12:12 schrieb RalphT:

Diesen RODC könnte ich ja wieder aus der Domäne entfernen.

Mehr  

 

Es wäre jetzt sehr oberflächlich, anhand der bisherigen Diskussion solch konkrete Empfehlungen auszusprechen. Aber wenn du gar nicht so richtig weißt, wozu du einen RODC brauchen könntest, dann ist das zumindest ein gewichtiges Argument, keinen zu haben.

 

Gruß, Nils

 

  • Like 1
RalphT Mentor

RalphT   15

Geschrieben
  • Autor
Geschrieben

Der Trigger kam ja aus dieser Sicherheitsempfehlung, die bei uns hier vorgeschlagen wurden. Ich bin natürlich erst einmal davon ausgegangen, dass der Berater schon weiß, was gut ist. Vielleicht hatte er "das Ganze" nicht so direkt vor Augen. Denn schon wie du schreibst, ganz unsinnig ist der RODC nicht, hängt halt von den Gegebenheiten ab.

Bestätigt fühlte ich mich dann von ein oder zwei Berichten, wovon ich ja einen hier gepostet habe.

 

Um jetzt einen evtl. Ärger/Frust aus dem Weg zu gehen, werde ich den RODC entfernen. Ich werde dann wohl in einer ruhigen Minute das Thema in einer Testumgebung mal nachstellen.

 

Besprechen kann ich diese Problematik ja beim nächsten Termin mit dem Berater. Dann kann ich immer noch einen Server aufsetzen.

NorbertFe Grand Master

NorbertFe   2.266

Geschrieben
Geschrieben
  Am 9.9.2024 um 12:56 schrieb RalphT:

ganz unsinnig ist der RODC nicht

Mehr  

Ne aber fast ganz fast immer. ;)

  Am 9.9.2024 um 12:56 schrieb RalphT:

Der Trigger kam ja aus dieser Sicherheitsempfehlung, die bei uns hier vorgeschlagen wurden.

Mehr  

Die wir hier aber nicht kennen und somit auch nicht einschätzen können, ob du einer der wenigen bist, wo das sinnvoll ist. Hat Nils oben ja schon mehrfach angedeutet.

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...