RalphT 15 Geschrieben 9. September 2024 Melden Geschrieben 9. September 2024 Moin, ich hatte in einer Zweigstelle neben einem DC 2019 einen RODC aufgesetzt. Derzeit laufen noch beide Server parallel. Seit einiger Zeit gibt es die folgende Meldung im DC: Die Signatur auf dem PAC von krbtgt_1234 konnte vom KDC während der TGS-Verarbeitung nicht verifiziert werden. Dies deutet darauf hin, dass das PAC verändert wurde. Bislang habe ich noch keine Lösung dazu gefunden. Zitieren
NilsK 3.021 Geschrieben 9. September 2024 Melden Geschrieben 9. September 2024 Moin, Am 9.9.2024 um 11:13 schrieb RalphT: ich hatte in einer Zweigstelle neben einem DC 2019 einen RODC aufgesetzt Mehr wozu das denn? Was wolltest du mit so einem Setup erreichen? Am 9.9.2024 um 11:13 schrieb RalphT: Seit einiger Zeit gibt es die folgende Meldung im DC Mehr Hast du auch eine Event-ID dazu? Gruß, Nils Zitieren
zahni 587 Geschrieben 9. September 2024 Melden Geschrieben 9. September 2024 (bearbeitet) Siehe auch: https://support.microsoft.com/en-gb/topic/kb5037754-how-to-manage-pac-validation-changes-related-to-cve-2024-26248-and-cve-2024-29056-6e661d4f-799a-4217-b948-be0a1943fef1 Es kann nicht schaden, bei dem Konto ein neues Kennwort zu setzen. Welches ist egal. Schön lang und man muss es sich nicht merken. Damit werden alle ausgestellten Tickets ungültig. bearbeitet 9. September 2024 von zahni Zitieren
NilsK 3.021 Geschrieben 9. September 2024 Melden Geschrieben 9. September 2024 Moin, hättest du Verwendung für ein "nicht"? Es bleibt aber die Frage, was der TO mit dem Setup bezweckt, das schon ... exotisch ist. Gruß, Nils Zitieren
zahni 587 Geschrieben 9. September 2024 Melden Geschrieben 9. September 2024 Hast echt, man muss es mindestens 2x ändern: https://learn.microsoft.com/de-de/windows-server/identity/ad-ds/manage/forest-recovery-guide/ad-forest-recovery-reset-the-krbtgt-password Zitieren
RalphT 15 Geschrieben 9. September 2024 Autor Melden Geschrieben 9. September 2024 (bearbeitet) Am 9.9.2024 um 11:24 schrieb NilsK: wozu das denn? Was wolltest du mit so einem Setup erreichen? Mehr Der eine DC soll abgeschaltet werden. Es soll dann nur noch der RODC in der Zweigstelle laufen. Am 9.9.2024 um 11:24 schrieb NilsK: Hast du auch eine Event-ID dazu? Mehr Die lautet 18. bearbeitet 9. September 2024 von RalphT Zitieren
NilsK 3.021 Geschrieben 9. September 2024 Melden Geschrieben 9. September 2024 Moin, Am 9.9.2024 um 11:36 schrieb RalphT: Der eine DC soll abgeschaltet werden. Es soll dann nur noch der RODC in der Zweigstelle laufen. Mehr hm. Würde ich eher nicht so machen, kann aber vom Vorgehen her funktionieren, wenn man weiß, was man tut. Aber: Da meiner Erfahrung nach ein RODC "in echt" fast nie sinnvoll ist, würde ich das Konzept prüfen, ob ein RODC wirklich eine sinnvolle Lösung für das Problem (das ich ja nicht kenne) ist. Am 9.9.2024 um 11:36 schrieb RalphT: Die lautet 18. Mehr Die Nummer wird in dem KB-Artikel nicht genannt, aber es klingt schon deutlich so, als wäre das dort beschriebene Update der Grund. Ich würde das mal durcharbeiten. Am 9.9.2024 um 11:33 schrieb zahni: Hast echt, man muss es mindestens 2x ändern: Mehr Das meine ich nicht. Du schrobst: "Es kann schaden, bei dem Konto ein neues Kennwort zu setzen." Zwar ist das sicher auch nicht völlig falsch, aber ich vermute, dass du eigentlich das Gegenteil sagen wolltest. Daher meine Nachfrage. Gruß, Nils PS. hier noch das fehlende R: R. Zitieren
RalphT 15 Geschrieben 9. September 2024 Autor Melden Geschrieben 9. September 2024 (bearbeitet) Am 9.9.2024 um 11:54 schrieb NilsK: hm. Würde ich eher nicht so machen, kann aber vom Vorgehen her funktionieren, wenn man weiß, was man tut. Aber: Da meiner Erfahrung nach ein RODC "in echt" fast nie sinnvoll ist, würde ich das Konzept prüfen, ob ein RODC wirklich eine sinnvolle Lösung für das Problem (das ich ja nicht kenne) ist. Mehr Das hatte man mir empfohlen. Als Sicherheitsmaßnahme. Ich gebe zu, dass ich vorher noch nie mit einem RODC rumhantiert habe. Bislang läuft ja noch der DC. Da ich auch beim googlen Beiträge zu diesem Szenario gefunden habe, dachte ich, dass dieses Vorgehen schon ok ist. https://www.ip-insider.de/so-betreiben-sie-schreibgeschuetzte-domaenencontroller-a-f559470f963357cd5c8584b8fb8afb12/ Warum würdest du das nicht empfehlen? bearbeitet 9. September 2024 von RalphT Zitieren
testperson 1.827 Geschrieben 9. September 2024 Melden Geschrieben 9. September 2024 Hi, Am 9.9.2024 um 12:00 schrieb RalphT: Als Sicherheitsmaßnahme. Mehr wie hoch ist denn die Gefahr, dass jemand in die Zweigstelle kommt und den RODC klaut bzw. die Hardware klaut, auf der der RODC läuft? Gruß Jan Zitieren
NilsK 3.021 Geschrieben 9. September 2024 Melden Geschrieben 9. September 2024 (bearbeitet) Moin, weil es meist nicht zum Gesamtaufbau passt, wenn man es sich näher ansieht. Das würde ich jetzt aber nicht anhand deiner Umgebung in einem öffentlichen Forum diskutieren wollen, weil du damit zu viel preisgeben müsstest. Die Grundidee des RODC finde ich nachvollziehbar, aber sie passt eben in der echten Welt höchst selten, weil zu viel um den RODC drumrum ist, was seinen Einsatz unsinnig macht. Gruß, Nils PS. ... und ich will kein plattes Bashing betreiben, aber auf Artikeln von Thomas Joos würde ich keine Entscheidung aufbauen. bearbeitet 9. September 2024 von NilsK 1 Zitieren
RalphT 15 Geschrieben 9. September 2024 Autor Melden Geschrieben 9. September 2024 (bearbeitet) Am 9.9.2024 um 12:02 schrieb testperson: wie hoch ist denn die Gefahr, dass jemand in die Zweigstelle kommt und den RODC klaut bzw. die Hardware klaut, auf der der RODC läuft? Mehr Ungefähr so ähnlich wie in der Hauptzentrale. Ja diesen Grund hatte ich schon öfters gelesen. Wie würde das bei einem Angriff über der Firewall der Zweigstelle aussehen? Dann hätten die Angreifer ja erst mal einen RODC vor sich. Ok, natürlich existiert ein Tunnel zur Zentrale, wo die DCs stehen. Dieses Thema muss ich jetzt hier nicht durchpeitschen. Es war halt nur eine Empfehlung. Vielleicht sollte ich das mal in in einer Testungebung für mich aufbauen und dann in aller Ruhe schauen. Diesen RODC könnte ich ja wieder aus der Domäne entfernen. bearbeitet 9. September 2024 von RalphT Zitieren
zahni 587 Geschrieben 9. September 2024 Melden Geschrieben 9. September 2024 Am 9.9.2024 um 11:54 schrieb NilsK: Es kann schaden, Mehr Ah ja, sorry. Habe das kurz vor einem Termin geschrieben. Zitieren
NilsK 3.021 Geschrieben 9. September 2024 Melden Geschrieben 9. September 2024 Moin, Am 9.9.2024 um 12:12 schrieb RalphT: Wie würde das bei einem Angriff über der Firewall der Zweigstelle aussehen? Dann hätten die Angreifer ja erst mal einen RODC vor sich. Mehr für dieses Szenario ist ein RODC gar nicht gedacht. Bei so einem Angriff gibt es in aller Regel andere Möglichkeiten bzw. Einschränkungen. Am 9.9.2024 um 12:12 schrieb RalphT: Ok, natürlich existiert ein Tunnel zur Zentrale, wo die DCs stehen. Mehr Und das wäre schon eine der Sachen, die man bei einem näheren Blick dann feststellt. Wahrscheinlich ist der Standort gar nicht so eine Insel, wie er mit einem RODC konzeptionell gemeint ist. Am 9.9.2024 um 12:12 schrieb RalphT: Diesen RODC könnte ich ja wieder aus der Domäne entfernen. Mehr Es wäre jetzt sehr oberflächlich, anhand der bisherigen Diskussion solch konkrete Empfehlungen auszusprechen. Aber wenn du gar nicht so richtig weißt, wozu du einen RODC brauchen könntest, dann ist das zumindest ein gewichtiges Argument, keinen zu haben. Gruß, Nils 1 Zitieren
RalphT 15 Geschrieben 9. September 2024 Autor Melden Geschrieben 9. September 2024 Der Trigger kam ja aus dieser Sicherheitsempfehlung, die bei uns hier vorgeschlagen wurden. Ich bin natürlich erst einmal davon ausgegangen, dass der Berater schon weiß, was gut ist. Vielleicht hatte er "das Ganze" nicht so direkt vor Augen. Denn schon wie du schreibst, ganz unsinnig ist der RODC nicht, hängt halt von den Gegebenheiten ab. Bestätigt fühlte ich mich dann von ein oder zwei Berichten, wovon ich ja einen hier gepostet habe. Um jetzt einen evtl. Ärger/Frust aus dem Weg zu gehen, werde ich den RODC entfernen. Ich werde dann wohl in einer ruhigen Minute das Thema in einer Testumgebung mal nachstellen. Besprechen kann ich diese Problematik ja beim nächsten Termin mit dem Berater. Dann kann ich immer noch einen Server aufsetzen. Zitieren
NorbertFe 2.266 Geschrieben 9. September 2024 Melden Geschrieben 9. September 2024 Am 9.9.2024 um 12:56 schrieb RalphT: ganz unsinnig ist der RODC nicht Mehr Ne aber fast ganz fast immer. ;) Am 9.9.2024 um 12:56 schrieb RalphT: Der Trigger kam ja aus dieser Sicherheitsempfehlung, die bei uns hier vorgeschlagen wurden. Mehr Die wir hier aber nicht kennen und somit auch nicht einschätzen können, ob du einer der wenigen bist, wo das sinnvoll ist. Hat Nils oben ja schon mehrfach angedeutet. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.