Kerberos Armoring, Fehler bei Domain-Trust

MurdocX · vor 6 Stunden

@mzahneissen das ist meine Testumgebung. Ich hatte AFAIK mal beim Härten diese Probleme und konnte sie mir nicht erklären. Daher habe ich das jetzt mal nachgestellt.

@cj_berlin purge auf allen durchgeführt. Zugriffe getestet danach. Mich würde das Problem auch interessieren. Troubleshooting technisch wäre das mal richtig interessant, wo hier der Fehler liegt. Oder ob man evtl. selbst einen Fehler in der Konfiguration hat.

Es ist aktuell nicht möglich von einer Domäne auf die Andere zuzugreifen. Auch nicht mehr für die DCs. Vermutlich lag das an den Tickets, die vorher mittels "Supportet" ausgestellt wurden. Diesmal sind alle DCs neugestartet und "klist purge -li 0x3e7" ausgeführt.

# Konfiguration

⚙️ KDC - Kerberos Amoring -> Fail unamored authentication requests

⚙️ Alle DCs sind frisch installiert, default konfiguration, nicht gehärtet, trust transitiv, keine auth Einschränkung.

# Domänenübergreifend

❌ DC-MUC-ROOT (muenchen.local) <-> DC-BER-ROOT (berlin.local) // Kein Zugriff möglich // Auth-Fenster erscheint

❌ LAB02-SRV-BER01 <-> LAB02-SRV-MUC01 // Kein Zugriff möglich // Auth-Fenster erscheint

# Innerhalb der Domäne

✅ LAB02-SRV-BER01 <-> DC-BER-ROOT

✅ LAB02-SRV-MUC01 <-> DC-MUC-ROOT

# DC1 - DC-MUC-ROOT

PS C:\Users\Administrator> klist -li 0x3e7

Current LogonId is 0:0x1426900
Targeted LogonId is 0:0x3e7

Cached Tickets: (13)

#0>     Client: dc-muc-root$ @ MUENCHEN.LOCAL
        Server: krbtgt/BERLIN.LOCAL @ MUENCHEN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
        Start Time: 11/3/2025 11:50:42 (local)
        End Time:   11/3/2025 21:39:24 (local)
        Renew Time: 11/10/2025 11:39:24 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x240 -> FAST DISABLE-TGT-DELEGATION
        Kdc Called: DC-MUC-ROOT

#1>     Client: dc-muc-root$ @ MUENCHEN.LOCAL
        Server: krbtgt/OLCHING.MUENCHEN.LOCAL @ OLCHING.MUENCHEN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
        Start Time: 11/3/2025 11:43:10 (local)
        End Time:   11/3/2025 21:39:24 (local)
        Renew Time: 11/10/2025 11:39:24 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0
        Kdc Called: DC-MUC-SUB.olching.muenchen.local

#2>     Client: dc-muc-root$ @ MUENCHEN.LOCAL
        Server: krbtgt/OLCHING.MUENCHEN.LOCAL @ MUENCHEN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 11:43:09 (local)
        End Time:   11/3/2025 21:39:24 (local)
        Renew Time: 11/10/2025 11:39:24 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-MUC-ROOT

#3>     Client: dc-muc-root$ @ MUENCHEN.LOCAL
        Server: krbtgt/MUENCHEN.LOCAL @ MUENCHEN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x60a10000 -> forwardable forwarded renewable pre_authent name_canonicalize
        Start Time: 11/3/2025 11:40:58 (local)
        End Time:   11/3/2025 21:39:24 (local)
        Renew Time: 11/10/2025 11:39:24 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x42 -> DELEGATION FAST
        Kdc Called: DC-MUC-ROOT

#4>     Client: dc-muc-root$ @ MUENCHEN.LOCAL
        Server: krbtgt/MUENCHEN.LOCAL @ MUENCHEN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40e10000 -> forwardable renewable initial pre_authent name_canonicalize
        Start Time: 11/3/2025 11:39:24 (local)
        End Time:   11/3/2025 21:39:24 (local)
        Renew Time: 11/10/2025 11:39:24 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x1 -> PRIMARY
        Kdc Called: DC-MUC-ROOT

#5>     Client: dc-muc-root$ @ MUENCHEN.LOCAL
        Server: E3514235-4B06-11D1-AB04-00C04FC2DCD2/93a89448-8833-42a3-aec2-b14d9b8c178c/olching.muenchen.local @ OLCHING.MUENCHEN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 11:50:23 (local)
        End Time:   11/3/2025 21:39:24 (local)
        Renew Time: 11/10/2025 11:39:24 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-MUC-SUB.olching.muenchen.local

#6>     Client: dc-muc-root$ @ MUENCHEN.LOCAL
        Server: DC-MUC-ROOT$ @ MUENCHEN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 11:43:20 (local)
        End Time:   11/3/2025 21:39:24 (local)
        Renew Time: 11/10/2025 11:39:24 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-MUC-ROOT

#7>     Client: dc-muc-root$ @ MUENCHEN.LOCAL
        Server: cifs/DC-MUC-ROOT.muenchen.local/muenchen.local @ MUENCHEN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 11:43:20 (local)
        End Time:   11/3/2025 21:39:24 (local)
        Renew Time: 11/10/2025 11:39:24 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-MUC-ROOT

#8>     Client: dc-muc-root$ @ MUENCHEN.LOCAL
        Server: ldap/DC-MUC-ROOT.muenchen.local/muenchen.local @ MUENCHEN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 11:43:20 (local)
        End Time:   11/3/2025 21:39:24 (local)
        Renew Time: 11/10/2025 11:39:24 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-MUC-ROOT

#9>     Client: dc-muc-root$ @ MUENCHEN.LOCAL
        Server: DNS/dc-muc-sub.olching.muenchen.local @ OLCHING.MUENCHEN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 11:43:10 (local)
        End Time:   11/3/2025 21:39:24 (local)
        Renew Time: 11/10/2025 11:39:24 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-MUC-SUB.olching.muenchen.local

#10>    Client: dc-muc-root$ @ MUENCHEN.LOCAL
        Server: LDAP/DC-MUC-ROOT @ MUENCHEN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 11:43:09 (local)
        End Time:   11/3/2025 21:39:24 (local)
        Renew Time: 11/10/2025 11:39:24 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-MUC-ROOT

#11>    Client: dc-muc-root$ @ MUENCHEN.LOCAL
        Server: cifs/DC-MUC-ROOT @ MUENCHEN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 11:40:58 (local)
        End Time:   11/3/2025 21:39:24 (local)
        Renew Time: 11/10/2025 11:39:24 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-MUC-ROOT

#12>    Client: dc-muc-root$ @ MUENCHEN.LOCAL
        Server: ldap/DC-MUC-ROOT.muenchen.local @ MUENCHEN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 11:39:24 (local)
        End Time:   11/3/2025 21:39:24 (local)
        Renew Time: 11/10/2025 11:39:24 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-MUC-ROOT

# DC 2 - DC-BER-ROOT

PS C:\Users\Administrator> klist -li 0x3e7

Current LogonId is 0:0x4c6bc
Targeted LogonId is 0:0x3e7

Cached Tickets: (11)

#0>     Client: dc-ber-root$ @ BERLIN.LOCAL
        Server: krbtgt/MUENCHEN.LOCAL @ BERLIN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
        Start Time: 11/3/2025 11:51:42 (local)
        End Time:   11/3/2025 21:44:52 (local)
        Renew Time: 11/10/2025 11:44:52 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x240 -> FAST DISABLE-TGT-DELEGATION
        Kdc Called: DC-BER-ROOT

#1>     Client: dc-ber-root$ @ BERLIN.LOCAL
        Server: krbtgt/BERLIN.LOCAL @ BERLIN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x60a10000 -> forwardable forwarded renewable pre_authent name_canonicalize
        Start Time: 11/3/2025 11:44:53 (local)
        End Time:   11/3/2025 21:44:52 (local)
        Renew Time: 11/10/2025 11:44:52 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x42 -> DELEGATION FAST
        Kdc Called: DC-BER-ROOT

#2>     Client: dc-ber-root$ @ BERLIN.LOCAL
        Server: krbtgt/BERLIN.LOCAL @ BERLIN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40e10000 -> forwardable renewable initial pre_authent name_canonicalize
        Start Time: 11/3/2025 11:44:52 (local)
        End Time:   11/3/2025 21:44:52 (local)
        Renew Time: 11/10/2025 11:44:52 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x1 -> PRIMARY
        Kdc Called: DC-BER-ROOT

#3>     Client: dc-ber-root$ @ BERLIN.LOCAL
        Server: cifs/DC-BER-ROOT.berlin.local/berlin.local @ BERLIN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 11:59:53 (local)
        End Time:   11/3/2025 21:44:52 (local)
        Renew Time: 11/10/2025 11:44:52 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-BER-ROOT

#4>     Client: dc-ber-root$ @ BERLIN.LOCAL
        Server: GC/DC-BER-ROOT.berlin.local/berlin.local @ BERLIN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 11:59:22 (local)
        End Time:   11/3/2025 21:44:52 (local)
        Renew Time: 11/10/2025 11:44:52 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-BER-ROOT

#5>     Client: dc-ber-root$ @ BERLIN.LOCAL
        Server: cifs/DC-BER-ROOT @ BERLIN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 11:49:37 (local)
        End Time:   11/3/2025 21:44:52 (local)
        Renew Time: 11/10/2025 11:44:52 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-BER-ROOT

#6>     Client: dc-ber-root$ @ BERLIN.LOCAL
        Server: DC-BER-ROOT$ @ BERLIN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 11:44:53 (local)
        End Time:   11/3/2025 21:44:52 (local)
        Renew Time: 11/10/2025 11:44:52 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-BER-ROOT

#7>     Client: dc-ber-root$ @ BERLIN.LOCAL
        Server: cifs/DC-BER-ROOT.berlin.local @ BERLIN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 11:44:53 (local)
        End Time:   11/3/2025 21:44:52 (local)
        Renew Time: 11/10/2025 11:44:52 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-BER-ROOT

#8>     Client: dc-ber-root$ @ BERLIN.LOCAL
        Server: LDAP/DC-BER-ROOT.berlin.local/berlin.local @ BERLIN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 11:44:53 (local)
        End Time:   11/3/2025 21:44:52 (local)
        Renew Time: 11/10/2025 11:44:52 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-BER-ROOT

#9>     Client: dc-ber-root$ @ BERLIN.LOCAL
        Server: ldap/DC-BER-ROOT.berlin.local @ BERLIN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 11:44:52 (local)
        End Time:   11/3/2025 21:44:52 (local)
        Renew Time: 11/10/2025 11:44:52 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-BER-ROOT

#10>    Client: dc-ber-root$ @ BERLIN.LOCAL
        Server: LDAP/DC-BER-ROOT @ BERLIN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 11:44:52 (local)
        End Time:   11/3/2025 21:44:52 (local)
        Renew Time: 11/10/2025 11:44:52 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-BER-ROOT

bearbeitet vor 6 Stunden von MurdocX

cj_berlin · vor 5 Stunden

Hmm, es fehlt das krbtgt-ST von der Gegenseite, durch diese bestätigt. Du hast:

aber nicht

(eingerahmt ist mein Äquivalent zu dem o.g. Ticket #0). Somit findet tratsächlich kein Kerberos über den Trust statt.

Jetzt wäre spannend, ob dieses Ticket erscheint, wenn Armoring auf "Supported" steht... Falls ja, ist es, glaube ich, ein Fall für Wireshark und sehr hoch aufgedrehtes Diagnostic Logging...

...und wenn das Ticket nicht erscheint und der Zugriff dennoch zu funktionieren scheint - versucht's mal mit einem User, der in "Protected Users" Mitglied ist ;-) Nicht, dass doch ein Fallback auf NTLM stattfindet...

MurdocX · vor 5 Stunden

@cj_berlin Danke für deine Vorschläge. Ich setze die Konfig gleich um und poste.

Müssen beim Trust noch Konfigurationen für Claims/Amoring gesetzt werden?

Um hier eventuell ein Problem mit dem Trust auf die Schliche zu kommen, habe ich die Konfiguration ausgelesen.

# DC-BER-ROOT

PS C:\Users\Administrator> Get-ADTrust -Identity "muenchen.local"


Direction               : BiDirectional
DisallowTransivity      : False
DistinguishedName       : CN=muenchen.local,CN=System,DC=berlin,DC=local
ForestTransitive        : True
IntraForest             : False
IsTreeParent            : False
IsTreeRoot              : False
Name                    : muenchen.local
ObjectClass             : trustedDomain
ObjectGUID              : 3e9bfdd5-73ab-49f1-bb6b-438038670354
SelectiveAuthentication : False
SIDFilteringForestAware : False
SIDFilteringQuarantined : False
Source                  : DC=berlin,DC=local
Target                  : muenchen.local
TGTDelegation           : False
TrustAttributes         : 8
TrustedPolicy           :
TrustingPolicy          :
TrustType               : Uplevel
UplevelOnly             : False
UsesAESKeys             : False
UsesRC4Encryption       : False

# DC-MUC-ROOT

PS C:\Users\Administrator> Get-ADTrust -Identity "berlin.local"


Direction               : BiDirectional
DisallowTransivity      : False
DistinguishedName       : CN=berlin.local,CN=System,DC=muenchen,DC=local
ForestTransitive        : True
IntraForest             : False
IsTreeParent            : False
IsTreeRoot              : False
Name                    : berlin.local
ObjectClass             : trustedDomain
ObjectGUID              : 9ac50009-8284-4ef3-908b-d8d481c6a742
SelectiveAuthentication : False
SIDFilteringForestAware : False
SIDFilteringQuarantined : False
Source                  : DC=muenchen,DC=local
Target                  : berlin.local
TGTDelegation           : False
TrustAttributes         : 8
TrustedPolicy           :
TrustingPolicy          :
TrustType               : Uplevel
UplevelOnly             : False
UsesAESKeys             : False
UsesRC4Encryption       : False

cj_berlin · vor 5 Stunden

Trust-Einstellungen sind bei mir genau so, es muss auch nichts am Trust extra fürs Armoring gesetzt werden - außer, dass die Client-Policy auch auf DCs gelten muss, aber ich schätze, das ist der Fall, denn sonst würde man sich gar nicht mehr anmelden können.

Spannend. Ist es vielleicht doch ein OS-Versionsthema? Ich meine, einer von euch erwähnte 2019er DCs? Schon zu spät, um den Thread nochmal aufmerksam zu lesen...

mzahneissen · vor 5 Stunden

vor 6 Minuten schrieb cj_berlin:

Trust-Einstellungen sind bei mir genau so, es muss auch nichts am Trust extra fürs Armoring gesetzt werden - außer, dass die Client-Policy auch auf DCs gelten muss, aber ich schätze, das ist der Fall, denn sonst würde man sich gar nicht mehr anmelden können.

Spannend. Ist es vielleicht doch ein OS-Versionsthema? Ich meine, einer von euch erwähnte 2019er DCs? Schon zu spät, um den Thread nochmal aufmerksam zu lesen...

richtig, bei mir sind alle DCs 2019, DFL und FFL 2016.

Trust-Konfig und Klist kann ich erst Mittwoch bei mir vergleichen.

MurdocX · vor 5 Stunden

Die Client-Policy ist auf dem Domänen-Ebene gesetzt und wurde auch übernommen, laut gpresult. Ich setze für den Test auf Server-2025.

-> "protected users" bin ich gerade noch am testen, weil ich mich ja über kerberos verbinden muss :-)

Jetzt könnte es interessant werden. :-) Ich sehe genau die Tickets auf die du aufmerksam gemacht hast.

# Konfiguration

⚙️ KDC - Kerberos Amoring -> "Supported"

# DC-MUC-ROOT

PS C:\Users\Administrator> klist -li 0x3e7

Current LogonId is 0:0x1426900
Targeted LogonId is 0:0x3e7

Cached Tickets: (5)

#0>     Client: dc-muc-root$ @ MUENCHEN.LOCAL
        Server: krbtgt/BERLIN.LOCAL @ BERLIN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
        Start Time: 11/3/2025 13:27:47 (local)
        End Time:   11/3/2025 23:25:26 (local)
        Renew Time: 11/10/2025 13:25:26 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x200 -> DISABLE-TGT-DELEGATION
        Kdc Called: DC-BER-ROOT.berlin.local

#1>     Client: dc-muc-root$ @ MUENCHEN.LOCAL
        Server: krbtgt/BERLIN.LOCAL @ MUENCHEN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
        Start Time: 11/3/2025 13:27:47 (local)
        End Time:   11/3/2025 23:25:26 (local)
        Renew Time: 11/10/2025 13:25:26 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x240 -> FAST DISABLE-TGT-DELEGATION
        Kdc Called: DC-MUC-ROOT

#2>     Client: dc-muc-root$ @ MUENCHEN.LOCAL
        Server: krbtgt/MUENCHEN.LOCAL @ MUENCHEN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40e10000 -> forwardable renewable initial pre_authent name_canonicalize
        Start Time: 11/3/2025 13:25:26 (local)
        End Time:   11/3/2025 23:25:26 (local)
        Renew Time: 11/10/2025 13:25:26 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x1 -> PRIMARY
        Kdc Called: DC-MUC-ROOT

#3>     Client: dc-muc-root$ @ MUENCHEN.LOCAL
        Server: LDAP/DC-MUC-ROOT.muenchen.local/muenchen.local @ MUENCHEN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 13:25:57 (local)
        End Time:   11/3/2025 23:25:26 (local)
        Renew Time: 11/10/2025 13:25:26 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-MUC-ROOT

#4>     Client: dc-muc-root$ @ MUENCHEN.LOCAL
        Server: ldap/DC-MUC-ROOT.muenchen.local @ MUENCHEN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 13:25:26 (local)
        End Time:   11/3/2025 23:25:26 (local)
        Renew Time: 11/10/2025 13:25:26 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-MUC-ROOT

# DC-BER-ROOT

PS C:\Users\Administrator> klist -li 0x3e7

Current LogonId is 0:0x4c6bc
Targeted LogonId is 0:0x3e7

Cached Tickets: (9)

#0>     Client: dc-ber-root$ @ BERLIN.LOCAL
        Server: krbtgt/BERLIN.LOCAL @ BERLIN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x60a10000 -> forwardable forwarded renewable pre_authent name_canonicalize
        Start Time: 11/3/2025 13:29:14 (local)
        End Time:   11/3/2025 23:25:25 (local)
        Renew Time: 11/10/2025 13:25:25 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x42 -> DELEGATION FAST
        Kdc Called: DC-BER-ROOT

#1>     Client: dc-ber-root$ @ BERLIN.LOCAL
        Server: krbtgt/MUENCHEN.LOCAL @ MUENCHEN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
        Start Time: 11/3/2025 13:27:56 (local)
        End Time:   11/3/2025 23:25:25 (local)
        Renew Time: 11/10/2025 13:25:25 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x200 -> DISABLE-TGT-DELEGATION
        Kdc Called: DC-MUC-ROOT.muenchen.local

#2>     Client: dc-ber-root$ @ BERLIN.LOCAL
        Server: krbtgt/MUENCHEN.LOCAL @ BERLIN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
        Start Time: 11/3/2025 13:27:56 (local)
        End Time:   11/3/2025 23:25:25 (local)
        Renew Time: 11/10/2025 13:25:25 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x240 -> FAST DISABLE-TGT-DELEGATION
        Kdc Called: DC-BER-ROOT

#3>     Client: dc-ber-root$ @ BERLIN.LOCAL
        Server: krbtgt/BERLIN.LOCAL @ BERLIN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40e10000 -> forwardable renewable initial pre_authent name_canonicalize
        Start Time: 11/3/2025 13:25:25 (local)
        End Time:   11/3/2025 23:25:25 (local)
        Renew Time: 11/10/2025 13:25:25 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x1 -> PRIMARY
        Kdc Called: DC-BER-ROOT

#4>     Client: dc-ber-root$ @ BERLIN.LOCAL
        Server: cifs/DC-BER-ROOT @ BERLIN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 13:29:58 (local)
        End Time:   11/3/2025 23:25:25 (local)
        Renew Time: 11/10/2025 13:25:25 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-BER-ROOT

#5>     Client: dc-ber-root$ @ BERLIN.LOCAL
        Server: DC-BER-ROOT$ @ BERLIN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 13:29:14 (local)
        End Time:   11/3/2025 23:25:25 (local)
        Renew Time: 11/10/2025 13:25:25 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-BER-ROOT

#6>     Client: dc-ber-root$ @ BERLIN.LOCAL
        Server: cifs/DC-BER-ROOT.berlin.local/berlin.local @ BERLIN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 13:29:14 (local)
        End Time:   11/3/2025 23:25:25 (local)
        Renew Time: 11/10/2025 13:25:25 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-BER-ROOT

#7>     Client: dc-ber-root$ @ BERLIN.LOCAL
        Server: ldap/DC-BER-ROOT.berlin.local/berlin.local @ BERLIN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 13:29:14 (local)
        End Time:   11/3/2025 23:25:25 (local)
        Renew Time: 11/10/2025 13:25:25 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-BER-ROOT

#8>     Client: dc-ber-root$ @ BERLIN.LOCAL
        Server: ldap/DC-BER-ROOT.berlin.local @ BERLIN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 13:25:25 (local)
        End Time:   11/3/2025 23:25:25 (local)
        Renew Time: 11/10/2025 13:25:25 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-BER-ROOT

cj_berlin · vor 5 Stunden

Ich habe Mittwoch bis Freitag Seminar. Wie cool wäre es, wenn wir es gelöst kriegen und ich live darüber erzählen kann ;-) Aber ich schau mal, ob ich morgen ein 2019er Lab schnell hingeworfen kriege.

vor 5 Minuten schrieb MurdocX:

Jetzt könnte es interessant werden. Ich sehe genau die Tickets auf die du aufmerksam gemacht hast.

Aber ohne FAST!! Und bei mir ist auch dieses Ticket mit FAST.

OK, also wir haben:

@mzahneissen 2019 --> funktioniert nur mit Supported

@cj_berlin 2022 --> funktioniert mit Enforced

@MurdocX 2025 --> funktioniert nur mit Supported

Bei 2025 glaube ich inzwischen alles, aber 2019 ist eigentlich gut abgehangen und sollte auf 2022er Niveau funktionieren...

bearbeitet vor 4 Stunden von cj_berlin

MurdocX · vor 4 Stunden

vor 54 Minuten schrieb cj_berlin:

Ich habe Mittwoch bis Freitag Seminar. Wie cool wäre es, wenn wir es gelöst kriegen und ich live darüber erzählen kann

An mir soll es nicht scheitern :-)

vor 54 Minuten schrieb cj_berlin:

Aber ohne FAST!!

Vollkommen richtig :/

# Versuch 1

Wie vorgeschlagen habe ich einen DA erstellt und ihn in die Protected Users geschmissen. Am DC angemeldet. Nun bekomme ich eine Fehlermeldung.

DC-MUC-ROOT -> "\\berlin.local" (identisch mit dem anderen DC)

# Versuch 2

Folgenden Fehler kann ich im Eventlog triggern, wenn ich mich mit DA + Protected-Users versuche vom MUC-DC zum BER-DC "\\berlin.local" auf die Share zu verbinden:

 <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
  <Provider Name="Microsoft-Windows-Security-Kerberos" Guid="{98e6cfcb-ee0a-41e0-a57b-622d4e1b30b1}" /> 
  <EventID>100</EventID> 
  <Version>0</Version> 
  <Level>2</Level> 
  <Task>0</Task> 
  <Opcode>0</Opcode> 
  <Keywords>0x8000000000000000</Keywords> 
  <TimeCreated SystemTime="2025-11-03T22:24:02.4441868Z" /> 
  <EventRecordID>181</EventRecordID> 
  <Correlation /> 
  <Execution ProcessID="884" ThreadID="4012" /> 
  <Channel>Microsoft-Windows-Kerberos/Operational</Channel> 
  <Computer>DC-MUC-ROOT.muenchen.local</Computer> 
  <Security UserID="S-1-5-18" /> 
  </System>
- <EventData>
  <Data Name="SPN">cifs/berlin.local@BERLIN.LOCAL</Data> 
  <Data Name="ErrorCode">7</Data> 
  </EventData>
  </Event>

# Abfrage registrierter SPNs auf dem DC-BER-ROOT

PS C:\Users\Administrator> setspn.exe -L DC-BER-ROOT
Registered ServicePrincipalNames for CN=DC-BER-ROOT,OU=Domain Controllers,DC=berlin,DC=local:
        Dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04/DC-BER-ROOT.berlin.local
        ldap/DC-BER-ROOT.berlin.local/ForestDnsZones.berlin.local
        ldap/DC-BER-ROOT.berlin.local/DomainDnsZones.berlin.local
        TERMSRV/DC-BER-ROOT
        TERMSRV/DC-BER-ROOT.berlin.local
        DNS/DC-BER-ROOT.berlin.local
        GC/DC-BER-ROOT.berlin.local/berlin.local
        RestrictedKrbHost/DC-BER-ROOT.berlin.local
        RestrictedKrbHost/DC-BER-ROOT
        RPC/48f0492e-6c55-4aa3-a3d2-7ed973937035._msdcs.berlin.local
        HOST/DC-BER-ROOT/BERLIN
        HOST/DC-BER-ROOT.berlin.local/BERLIN
        HOST/DC-BER-ROOT
        HOST/DC-BER-ROOT.berlin.local
        HOST/DC-BER-ROOT.berlin.local/berlin.local
        E3514235-4B06-11D1-AB04-00C04FC2DCD2/48f0492e-6c55-4aa3-a3d2-7ed973937035/berlin.local
        ldap/DC-BER-ROOT/BERLIN
        ldap/48f0492e-6c55-4aa3-a3d2-7ed973937035._msdcs.berlin.local
        ldap/DC-BER-ROOT.berlin.local/BERLIN
        ldap/DC-BER-ROOT
        ldap/DC-BER-ROOT.berlin.local
        ldap/DC-BER-ROOT.berlin.local/berlin.local

bearbeitet vor 4 Stunden von MurdocX

Anmelden

Kerberos Armoring, Fehler bei Domain-Trust

Empfohlene Beiträge

MurdocX 1.006

cj_berlin 1.519

MurdocX 1.006

cj_berlin 1.519

mzahneissen 0

MurdocX 1.006

cj_berlin 1.519

MurdocX 1.006

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Benutzerkonto erstellen

Anmelden

Menu

Aktivitäten