Kerberos Armoring, Fehler bei Domain-Trust

MurdocX · Gestern um 20:17

@mzahneissen das ist meine Testumgebung. Ich hatte AFAIK mal beim Härten diese Probleme und konnte sie mir nicht erklären. Daher habe ich das jetzt mal nachgestellt.

@cj_berlin purge auf allen durchgeführt. Zugriffe getestet danach. Mich würde das Problem auch interessieren. Troubleshooting technisch wäre das mal richtig interessant, wo hier der Fehler liegt. Oder ob man evtl. selbst einen Fehler in der Konfiguration hat.

Es ist aktuell nicht möglich von einer Domäne auf die Andere zuzugreifen. Auch nicht mehr für die DCs. Vermutlich lag das an den Tickets, die vorher mittels "Supportet" ausgestellt wurden. Diesmal sind alle DCs neugestartet und "klist purge -li 0x3e7" ausgeführt.

# Konfiguration

⚙️ KDC - Kerberos Amoring -> Fail unamored authentication requests

⚙️ Alle DCs sind frisch installiert, default konfiguration, nicht gehärtet, trust transitiv, keine auth Einschränkung.

# Domänenübergreifend

❌ DC-MUC-ROOT (muenchen.local) <-> DC-BER-ROOT (berlin.local) // Kein Zugriff möglich // Auth-Fenster erscheint

❌ LAB02-SRV-BER01 <-> LAB02-SRV-MUC01 // Kein Zugriff möglich // Auth-Fenster erscheint

# Innerhalb der Domäne

✅ LAB02-SRV-BER01 <-> DC-BER-ROOT

✅ LAB02-SRV-MUC01 <-> DC-MUC-ROOT

# DC1 - DC-MUC-ROOT

PS C:\Users\Administrator> klist -li 0x3e7

Current LogonId is 0:0x1426900
Targeted LogonId is 0:0x3e7

Cached Tickets: (13)

#0>     Client: dc-muc-root$ @ MUENCHEN.LOCAL
        Server: krbtgt/BERLIN.LOCAL @ MUENCHEN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
        Start Time: 11/3/2025 11:50:42 (local)
        End Time:   11/3/2025 21:39:24 (local)
        Renew Time: 11/10/2025 11:39:24 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x240 -> FAST DISABLE-TGT-DELEGATION
        Kdc Called: DC-MUC-ROOT

#1>     Client: dc-muc-root$ @ MUENCHEN.LOCAL
        Server: krbtgt/OLCHING.MUENCHEN.LOCAL @ OLCHING.MUENCHEN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
        Start Time: 11/3/2025 11:43:10 (local)
        End Time:   11/3/2025 21:39:24 (local)
        Renew Time: 11/10/2025 11:39:24 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0
        Kdc Called: DC-MUC-SUB.olching.muenchen.local

#2>     Client: dc-muc-root$ @ MUENCHEN.LOCAL
        Server: krbtgt/OLCHING.MUENCHEN.LOCAL @ MUENCHEN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 11:43:09 (local)
        End Time:   11/3/2025 21:39:24 (local)
        Renew Time: 11/10/2025 11:39:24 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-MUC-ROOT

#3>     Client: dc-muc-root$ @ MUENCHEN.LOCAL
        Server: krbtgt/MUENCHEN.LOCAL @ MUENCHEN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x60a10000 -> forwardable forwarded renewable pre_authent name_canonicalize
        Start Time: 11/3/2025 11:40:58 (local)
        End Time:   11/3/2025 21:39:24 (local)
        Renew Time: 11/10/2025 11:39:24 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x42 -> DELEGATION FAST
        Kdc Called: DC-MUC-ROOT

#4>     Client: dc-muc-root$ @ MUENCHEN.LOCAL
        Server: krbtgt/MUENCHEN.LOCAL @ MUENCHEN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40e10000 -> forwardable renewable initial pre_authent name_canonicalize
        Start Time: 11/3/2025 11:39:24 (local)
        End Time:   11/3/2025 21:39:24 (local)
        Renew Time: 11/10/2025 11:39:24 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x1 -> PRIMARY
        Kdc Called: DC-MUC-ROOT

#5>     Client: dc-muc-root$ @ MUENCHEN.LOCAL
        Server: E3514235-4B06-11D1-AB04-00C04FC2DCD2/93a89448-8833-42a3-aec2-b14d9b8c178c/olching.muenchen.local @ OLCHING.MUENCHEN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 11:50:23 (local)
        End Time:   11/3/2025 21:39:24 (local)
        Renew Time: 11/10/2025 11:39:24 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-MUC-SUB.olching.muenchen.local

#6>     Client: dc-muc-root$ @ MUENCHEN.LOCAL
        Server: DC-MUC-ROOT$ @ MUENCHEN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 11:43:20 (local)
        End Time:   11/3/2025 21:39:24 (local)
        Renew Time: 11/10/2025 11:39:24 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-MUC-ROOT

#7>     Client: dc-muc-root$ @ MUENCHEN.LOCAL
        Server: cifs/DC-MUC-ROOT.muenchen.local/muenchen.local @ MUENCHEN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 11:43:20 (local)
        End Time:   11/3/2025 21:39:24 (local)
        Renew Time: 11/10/2025 11:39:24 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-MUC-ROOT

#8>     Client: dc-muc-root$ @ MUENCHEN.LOCAL
        Server: ldap/DC-MUC-ROOT.muenchen.local/muenchen.local @ MUENCHEN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 11:43:20 (local)
        End Time:   11/3/2025 21:39:24 (local)
        Renew Time: 11/10/2025 11:39:24 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-MUC-ROOT

#9>     Client: dc-muc-root$ @ MUENCHEN.LOCAL
        Server: DNS/dc-muc-sub.olching.muenchen.local @ OLCHING.MUENCHEN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 11:43:10 (local)
        End Time:   11/3/2025 21:39:24 (local)
        Renew Time: 11/10/2025 11:39:24 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-MUC-SUB.olching.muenchen.local

#10>    Client: dc-muc-root$ @ MUENCHEN.LOCAL
        Server: LDAP/DC-MUC-ROOT @ MUENCHEN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 11:43:09 (local)
        End Time:   11/3/2025 21:39:24 (local)
        Renew Time: 11/10/2025 11:39:24 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-MUC-ROOT

#11>    Client: dc-muc-root$ @ MUENCHEN.LOCAL
        Server: cifs/DC-MUC-ROOT @ MUENCHEN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 11:40:58 (local)
        End Time:   11/3/2025 21:39:24 (local)
        Renew Time: 11/10/2025 11:39:24 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-MUC-ROOT

#12>    Client: dc-muc-root$ @ MUENCHEN.LOCAL
        Server: ldap/DC-MUC-ROOT.muenchen.local @ MUENCHEN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 11:39:24 (local)
        End Time:   11/3/2025 21:39:24 (local)
        Renew Time: 11/10/2025 11:39:24 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-MUC-ROOT

# DC 2 - DC-BER-ROOT

PS C:\Users\Administrator> klist -li 0x3e7

Current LogonId is 0:0x4c6bc
Targeted LogonId is 0:0x3e7

Cached Tickets: (11)

#0>     Client: dc-ber-root$ @ BERLIN.LOCAL
        Server: krbtgt/MUENCHEN.LOCAL @ BERLIN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
        Start Time: 11/3/2025 11:51:42 (local)
        End Time:   11/3/2025 21:44:52 (local)
        Renew Time: 11/10/2025 11:44:52 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x240 -> FAST DISABLE-TGT-DELEGATION
        Kdc Called: DC-BER-ROOT

#1>     Client: dc-ber-root$ @ BERLIN.LOCAL
        Server: krbtgt/BERLIN.LOCAL @ BERLIN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x60a10000 -> forwardable forwarded renewable pre_authent name_canonicalize
        Start Time: 11/3/2025 11:44:53 (local)
        End Time:   11/3/2025 21:44:52 (local)
        Renew Time: 11/10/2025 11:44:52 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x42 -> DELEGATION FAST
        Kdc Called: DC-BER-ROOT

#2>     Client: dc-ber-root$ @ BERLIN.LOCAL
        Server: krbtgt/BERLIN.LOCAL @ BERLIN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40e10000 -> forwardable renewable initial pre_authent name_canonicalize
        Start Time: 11/3/2025 11:44:52 (local)
        End Time:   11/3/2025 21:44:52 (local)
        Renew Time: 11/10/2025 11:44:52 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x1 -> PRIMARY
        Kdc Called: DC-BER-ROOT

#3>     Client: dc-ber-root$ @ BERLIN.LOCAL
        Server: cifs/DC-BER-ROOT.berlin.local/berlin.local @ BERLIN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 11:59:53 (local)
        End Time:   11/3/2025 21:44:52 (local)
        Renew Time: 11/10/2025 11:44:52 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-BER-ROOT

#4>     Client: dc-ber-root$ @ BERLIN.LOCAL
        Server: GC/DC-BER-ROOT.berlin.local/berlin.local @ BERLIN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 11:59:22 (local)
        End Time:   11/3/2025 21:44:52 (local)
        Renew Time: 11/10/2025 11:44:52 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-BER-ROOT

#5>     Client: dc-ber-root$ @ BERLIN.LOCAL
        Server: cifs/DC-BER-ROOT @ BERLIN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 11:49:37 (local)
        End Time:   11/3/2025 21:44:52 (local)
        Renew Time: 11/10/2025 11:44:52 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-BER-ROOT

#6>     Client: dc-ber-root$ @ BERLIN.LOCAL
        Server: DC-BER-ROOT$ @ BERLIN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 11:44:53 (local)
        End Time:   11/3/2025 21:44:52 (local)
        Renew Time: 11/10/2025 11:44:52 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-BER-ROOT

#7>     Client: dc-ber-root$ @ BERLIN.LOCAL
        Server: cifs/DC-BER-ROOT.berlin.local @ BERLIN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 11:44:53 (local)
        End Time:   11/3/2025 21:44:52 (local)
        Renew Time: 11/10/2025 11:44:52 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-BER-ROOT

#8>     Client: dc-ber-root$ @ BERLIN.LOCAL
        Server: LDAP/DC-BER-ROOT.berlin.local/berlin.local @ BERLIN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 11:44:53 (local)
        End Time:   11/3/2025 21:44:52 (local)
        Renew Time: 11/10/2025 11:44:52 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-BER-ROOT

#9>     Client: dc-ber-root$ @ BERLIN.LOCAL
        Server: ldap/DC-BER-ROOT.berlin.local @ BERLIN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 11:44:52 (local)
        End Time:   11/3/2025 21:44:52 (local)
        Renew Time: 11/10/2025 11:44:52 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-BER-ROOT

#10>    Client: dc-ber-root$ @ BERLIN.LOCAL
        Server: LDAP/DC-BER-ROOT @ BERLIN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 11:44:52 (local)
        End Time:   11/3/2025 21:44:52 (local)
        Renew Time: 11/10/2025 11:44:52 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-BER-ROOT

bearbeitet Gestern um 20:21 von MurdocX

cj_berlin · Gestern um 20:55

Hmm, es fehlt das krbtgt-ST von der Gegenseite, durch diese bestätigt. Du hast:

aber nicht

(eingerahmt ist mein Äquivalent zu dem o.g. Ticket #0). Somit findet tratsächlich kein Kerberos über den Trust statt.

Jetzt wäre spannend, ob dieses Ticket erscheint, wenn Armoring auf "Supported" steht... Falls ja, ist es, glaube ich, ein Fall für Wireshark und sehr hoch aufgedrehtes Diagnostic Logging...

...und wenn das Ticket nicht erscheint und der Zugriff dennoch zu funktionieren scheint - versucht's mal mit einem User, der in "Protected Users" Mitglied ist ;-) Nicht, dass doch ein Fallback auf NTLM stattfindet...

MurdocX · Gestern um 21:21

@cj_berlin Danke für deine Vorschläge. Ich setze die Konfig gleich um und poste.

Müssen beim Trust noch Konfigurationen für Claims/Amoring gesetzt werden?

Um hier eventuell ein Problem mit dem Trust auf die Schliche zu kommen, habe ich die Konfiguration ausgelesen.

# DC-BER-ROOT

PS C:\Users\Administrator> Get-ADTrust -Identity "muenchen.local"


Direction               : BiDirectional
DisallowTransivity      : False
DistinguishedName       : CN=muenchen.local,CN=System,DC=berlin,DC=local
ForestTransitive        : True
IntraForest             : False
IsTreeParent            : False
IsTreeRoot              : False
Name                    : muenchen.local
ObjectClass             : trustedDomain
ObjectGUID              : 3e9bfdd5-73ab-49f1-bb6b-438038670354
SelectiveAuthentication : False
SIDFilteringForestAware : False
SIDFilteringQuarantined : False
Source                  : DC=berlin,DC=local
Target                  : muenchen.local
TGTDelegation           : False
TrustAttributes         : 8
TrustedPolicy           :
TrustingPolicy          :
TrustType               : Uplevel
UplevelOnly             : False
UsesAESKeys             : False
UsesRC4Encryption       : False

# DC-MUC-ROOT

PS C:\Users\Administrator> Get-ADTrust -Identity "berlin.local"


Direction               : BiDirectional
DisallowTransivity      : False
DistinguishedName       : CN=berlin.local,CN=System,DC=muenchen,DC=local
ForestTransitive        : True
IntraForest             : False
IsTreeParent            : False
IsTreeRoot              : False
Name                    : berlin.local
ObjectClass             : trustedDomain
ObjectGUID              : 9ac50009-8284-4ef3-908b-d8d481c6a742
SelectiveAuthentication : False
SIDFilteringForestAware : False
SIDFilteringQuarantined : False
Source                  : DC=muenchen,DC=local
Target                  : berlin.local
TGTDelegation           : False
TrustAttributes         : 8
TrustedPolicy           :
TrustingPolicy          :
TrustType               : Uplevel
UplevelOnly             : False
UsesAESKeys             : False
UsesRC4Encryption       : False

cj_berlin · Gestern um 21:25

Trust-Einstellungen sind bei mir genau so, es muss auch nichts am Trust extra fürs Armoring gesetzt werden - außer, dass die Client-Policy auch auf DCs gelten muss, aber ich schätze, das ist der Fall, denn sonst würde man sich gar nicht mehr anmelden können.

Spannend. Ist es vielleicht doch ein OS-Versionsthema? Ich meine, einer von euch erwähnte 2019er DCs? Schon zu spät, um den Thread nochmal aufmerksam zu lesen...

mzahneissen · Gestern um 21:33

vor 6 Minuten schrieb cj_berlin:

Trust-Einstellungen sind bei mir genau so, es muss auch nichts am Trust extra fürs Armoring gesetzt werden - außer, dass die Client-Policy auch auf DCs gelten muss, aber ich schätze, das ist der Fall, denn sonst würde man sich gar nicht mehr anmelden können.

Spannend. Ist es vielleicht doch ein OS-Versionsthema? Ich meine, einer von euch erwähnte 2019er DCs? Schon zu spät, um den Thread nochmal aufmerksam zu lesen...

richtig, bei mir sind alle DCs 2019, DFL und FFL 2016.

Trust-Konfig und Klist kann ich erst Mittwoch bei mir vergleichen.

MurdocX · Gestern um 21:35

Die Client-Policy ist auf dem Domänen-Ebene gesetzt und wurde auch übernommen, laut gpresult. Ich setze für den Test auf Server-2025.

-> "protected users" bin ich gerade noch am testen, weil ich mich ja über kerberos verbinden muss :-)

Jetzt könnte es interessant werden. :-) Ich sehe genau die Tickets auf die du aufmerksam gemacht hast.

# Konfiguration

⚙️ KDC - Kerberos Amoring -> "Supported"

# DC-MUC-ROOT

PS C:\Users\Administrator> klist -li 0x3e7

Current LogonId is 0:0x1426900
Targeted LogonId is 0:0x3e7

Cached Tickets: (5)

#0>     Client: dc-muc-root$ @ MUENCHEN.LOCAL
        Server: krbtgt/BERLIN.LOCAL @ BERLIN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
        Start Time: 11/3/2025 13:27:47 (local)
        End Time:   11/3/2025 23:25:26 (local)
        Renew Time: 11/10/2025 13:25:26 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x200 -> DISABLE-TGT-DELEGATION
        Kdc Called: DC-BER-ROOT.berlin.local

#1>     Client: dc-muc-root$ @ MUENCHEN.LOCAL
        Server: krbtgt/BERLIN.LOCAL @ MUENCHEN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
        Start Time: 11/3/2025 13:27:47 (local)
        End Time:   11/3/2025 23:25:26 (local)
        Renew Time: 11/10/2025 13:25:26 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x240 -> FAST DISABLE-TGT-DELEGATION
        Kdc Called: DC-MUC-ROOT

#2>     Client: dc-muc-root$ @ MUENCHEN.LOCAL
        Server: krbtgt/MUENCHEN.LOCAL @ MUENCHEN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40e10000 -> forwardable renewable initial pre_authent name_canonicalize
        Start Time: 11/3/2025 13:25:26 (local)
        End Time:   11/3/2025 23:25:26 (local)
        Renew Time: 11/10/2025 13:25:26 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x1 -> PRIMARY
        Kdc Called: DC-MUC-ROOT

#3>     Client: dc-muc-root$ @ MUENCHEN.LOCAL
        Server: LDAP/DC-MUC-ROOT.muenchen.local/muenchen.local @ MUENCHEN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 13:25:57 (local)
        End Time:   11/3/2025 23:25:26 (local)
        Renew Time: 11/10/2025 13:25:26 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-MUC-ROOT

#4>     Client: dc-muc-root$ @ MUENCHEN.LOCAL
        Server: ldap/DC-MUC-ROOT.muenchen.local @ MUENCHEN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 13:25:26 (local)
        End Time:   11/3/2025 23:25:26 (local)
        Renew Time: 11/10/2025 13:25:26 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-MUC-ROOT

# DC-BER-ROOT

PS C:\Users\Administrator> klist -li 0x3e7

Current LogonId is 0:0x4c6bc
Targeted LogonId is 0:0x3e7

Cached Tickets: (9)

#0>     Client: dc-ber-root$ @ BERLIN.LOCAL
        Server: krbtgt/BERLIN.LOCAL @ BERLIN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x60a10000 -> forwardable forwarded renewable pre_authent name_canonicalize
        Start Time: 11/3/2025 13:29:14 (local)
        End Time:   11/3/2025 23:25:25 (local)
        Renew Time: 11/10/2025 13:25:25 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x42 -> DELEGATION FAST
        Kdc Called: DC-BER-ROOT

#1>     Client: dc-ber-root$ @ BERLIN.LOCAL
        Server: krbtgt/MUENCHEN.LOCAL @ MUENCHEN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
        Start Time: 11/3/2025 13:27:56 (local)
        End Time:   11/3/2025 23:25:25 (local)
        Renew Time: 11/10/2025 13:25:25 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x200 -> DISABLE-TGT-DELEGATION
        Kdc Called: DC-MUC-ROOT.muenchen.local

#2>     Client: dc-ber-root$ @ BERLIN.LOCAL
        Server: krbtgt/MUENCHEN.LOCAL @ BERLIN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
        Start Time: 11/3/2025 13:27:56 (local)
        End Time:   11/3/2025 23:25:25 (local)
        Renew Time: 11/10/2025 13:25:25 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x240 -> FAST DISABLE-TGT-DELEGATION
        Kdc Called: DC-BER-ROOT

#3>     Client: dc-ber-root$ @ BERLIN.LOCAL
        Server: krbtgt/BERLIN.LOCAL @ BERLIN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40e10000 -> forwardable renewable initial pre_authent name_canonicalize
        Start Time: 11/3/2025 13:25:25 (local)
        End Time:   11/3/2025 23:25:25 (local)
        Renew Time: 11/10/2025 13:25:25 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x1 -> PRIMARY
        Kdc Called: DC-BER-ROOT

#4>     Client: dc-ber-root$ @ BERLIN.LOCAL
        Server: cifs/DC-BER-ROOT @ BERLIN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 13:29:58 (local)
        End Time:   11/3/2025 23:25:25 (local)
        Renew Time: 11/10/2025 13:25:25 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-BER-ROOT

#5>     Client: dc-ber-root$ @ BERLIN.LOCAL
        Server: DC-BER-ROOT$ @ BERLIN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 13:29:14 (local)
        End Time:   11/3/2025 23:25:25 (local)
        Renew Time: 11/10/2025 13:25:25 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-BER-ROOT

#6>     Client: dc-ber-root$ @ BERLIN.LOCAL
        Server: cifs/DC-BER-ROOT.berlin.local/berlin.local @ BERLIN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 13:29:14 (local)
        End Time:   11/3/2025 23:25:25 (local)
        Renew Time: 11/10/2025 13:25:25 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-BER-ROOT

#7>     Client: dc-ber-root$ @ BERLIN.LOCAL
        Server: ldap/DC-BER-ROOT.berlin.local/berlin.local @ BERLIN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 13:29:14 (local)
        End Time:   11/3/2025 23:25:25 (local)
        Renew Time: 11/10/2025 13:25:25 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-BER-ROOT

#8>     Client: dc-ber-root$ @ BERLIN.LOCAL
        Server: ldap/DC-BER-ROOT.berlin.local @ BERLIN.LOCAL
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 11/3/2025 13:25:25 (local)
        End Time:   11/3/2025 23:25:25 (local)
        Renew Time: 11/10/2025 13:25:25 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x40 -> FAST
        Kdc Called: DC-BER-ROOT

cj_berlin · Gestern um 21:36

Ich habe Mittwoch bis Freitag Seminar. Wie cool wäre es, wenn wir es gelöst kriegen und ich live darüber erzählen kann ;-) Aber ich schau mal, ob ich morgen ein 2019er Lab schnell hingeworfen kriege.

vor 5 Minuten schrieb MurdocX:

Jetzt könnte es interessant werden. Ich sehe genau die Tickets auf die du aufmerksam gemacht hast.

Aber ohne FAST!! Und bei mir ist auch dieses Ticket mit FAST.

OK, also wir haben:

@mzahneissen 2019 --> funktioniert nur mit Supported

@cj_berlin 2022 --> funktioniert mit Enforced

@MurdocX 2025 --> funktioniert nur mit Supported

Bei 2025 glaube ich inzwischen alles, aber 2019 ist eigentlich gut abgehangen und sollte auf 2022er Niveau funktionieren...

bearbeitet Gestern um 21:41 von cj_berlin

MurdocX · Gestern um 21:42

vor 54 Minuten schrieb cj_berlin:

Ich habe Mittwoch bis Freitag Seminar. Wie cool wäre es, wenn wir es gelöst kriegen und ich live darüber erzählen kann

An mir soll es nicht scheitern :-)

vor 54 Minuten schrieb cj_berlin:

Aber ohne FAST!!

Vollkommen richtig :/

# Versuch 1

Wie vorgeschlagen habe ich einen DA erstellt und ihn in die Protected Users geschmissen. Am DC angemeldet. Nun bekomme ich eine Fehlermeldung.

DC-MUC-ROOT -> "\\berlin.local" (identisch mit dem anderen DC)

# Versuch 2

Folgenden Fehler kann ich im Eventlog triggern, wenn ich mich mit DA + Protected-Users versuche vom MUC-DC zum BER-DC "\\berlin.local" auf die Share zu verbinden:

 <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
  <Provider Name="Microsoft-Windows-Security-Kerberos" Guid="{98e6cfcb-ee0a-41e0-a57b-622d4e1b30b1}" /> 
  <EventID>100</EventID> 
  <Version>0</Version> 
  <Level>2</Level> 
  <Task>0</Task> 
  <Opcode>0</Opcode> 
  <Keywords>0x8000000000000000</Keywords> 
  <TimeCreated SystemTime="2025-11-03T22:24:02.4441868Z" /> 
  <EventRecordID>181</EventRecordID> 
  <Correlation /> 
  <Execution ProcessID="884" ThreadID="4012" /> 
  <Channel>Microsoft-Windows-Kerberos/Operational</Channel> 
  <Computer>DC-MUC-ROOT.muenchen.local</Computer> 
  <Security UserID="S-1-5-18" /> 
  </System>
- <EventData>
  <Data Name="SPN">cifs/berlin.local@BERLIN.LOCAL</Data> 
  <Data Name="ErrorCode">7</Data> 
  </EventData>
  </Event>

# Abfrage registrierter SPNs auf dem DC-BER-ROOT

PS C:\Users\Administrator> setspn.exe -L DC-BER-ROOT
Registered ServicePrincipalNames for CN=DC-BER-ROOT,OU=Domain Controllers,DC=berlin,DC=local:
        Dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04/DC-BER-ROOT.berlin.local
        ldap/DC-BER-ROOT.berlin.local/ForestDnsZones.berlin.local
        ldap/DC-BER-ROOT.berlin.local/DomainDnsZones.berlin.local
        TERMSRV/DC-BER-ROOT
        TERMSRV/DC-BER-ROOT.berlin.local
        DNS/DC-BER-ROOT.berlin.local
        GC/DC-BER-ROOT.berlin.local/berlin.local
        RestrictedKrbHost/DC-BER-ROOT.berlin.local
        RestrictedKrbHost/DC-BER-ROOT
        RPC/48f0492e-6c55-4aa3-a3d2-7ed973937035._msdcs.berlin.local
        HOST/DC-BER-ROOT/BERLIN
        HOST/DC-BER-ROOT.berlin.local/BERLIN
        HOST/DC-BER-ROOT
        HOST/DC-BER-ROOT.berlin.local
        HOST/DC-BER-ROOT.berlin.local/berlin.local
        E3514235-4B06-11D1-AB04-00C04FC2DCD2/48f0492e-6c55-4aa3-a3d2-7ed973937035/berlin.local
        ldap/DC-BER-ROOT/BERLIN
        ldap/48f0492e-6c55-4aa3-a3d2-7ed973937035._msdcs.berlin.local
        ldap/DC-BER-ROOT.berlin.local/BERLIN
        ldap/DC-BER-ROOT
        ldap/DC-BER-ROOT.berlin.local
        ldap/DC-BER-ROOT.berlin.local/berlin.local

bearbeitet vor 23 Stunden von MurdocX

cj_berlin · vor 13 Stunden

Moin zusammen,

ich glaube, ich habe die Antwort, und sie wird euch - und uns alle - nicht erfreuen. Muss noch abschließend validieren. Aber der erste "dumme" Test mit 2019 war bei mir auch erfolgreich, somit ist es nicht versionsabhängig. Hang on, die Bombe kommt.

bearbeitet vor 13 Stunden von cj_berlin

NorbertFe · vor 12 Stunden

bearbeitet vor 12 Stunden von NorbertFe

cj_berlin · vor 9 Stunden

I spoke too soon :-(

Bei systematischem Testen, auf 2022, konnte ich die Situation nicht herbeiführen, dass sich ein User aus BRAVO, der dort in Protected Users ist, nicht in ALPHA interaktiv anmelden oder auf dortige Fileserver über SMB zugreifen könnte. Funktioniert alles einwandfrei.

Meine Ideen waren:

in dem Lab ist standardmäßig die Windows-Firewall auf "aktiv, aber offen" gesetzt --> das Rückführen auf Default-Regeln hat keine Änderung bewirkt
in dem Lab ist (aus Performance- und Mimikatz-Gründen) Defender deaktiviert --> das Aktivieren inkl. Runtime-Protection hat keine Änderung gebracht
alle VMs sind mit der gleichen unattend.inf gesysprepped, somit ist das Admin-Passwort bei allen gleich --> das Ändern des Admin-Passworts in allen Domänen und auf allen Members auf jeweils unterschiedliche Werte hat keine Änderung gebracht
auf allen DCs war das DSRM-Kennwort ursprünglich identisch gesetzt (das schien die Bombe zu sein) --> das Ändern auf jeweils unterschiedliche Werte inkl. Reboot, Ticket Purge, Reboot hat keine Änderung gebracht

Jetzt bleibt (euch) tatsächlich nur Loggen und Sniffen, denn ich kann's nach bestem Bemühen NICHT nachstellen.

cj_berlin · vor 5 Stunden

@MurdocX übrigens ist der Test "auf \\domain.name als PU-Member zugreifen" kein guter, der wird immer scheitern, denn es ist ja nicht möglich, den von Dir zitierten SPN auf mehr als einem DC zu registrieren. Wir hatten vor ein paar Monaten einen Thread dazu, den ich gerade nicht finde. \\domain.name\SYSVOL ist kein Thema, denn dann ist der DFS-N-Zauber erledigt und die Verbindung geht auf \\einer-der-dcs.domain.name\SYSVOL, wo der SPN dann existiert.

Explorer-Zugriff auf \\domain.name ist nur mit NTLM möglich - es sei denn, die Domäne hat nur einen DC, auf dem man dann den SPN cifs/domain.name zusätzlich registriert - dann geht auch Kerberos.

Anmelden

Kerberos Armoring, Fehler bei Domain-Trust

Empfohlene Beiträge

MurdocX 1.006

cj_berlin 1.521

MurdocX 1.006

cj_berlin 1.521

mzahneissen 0

MurdocX 1.006

cj_berlin 1.521

MurdocX 1.006

cj_berlin 1.521

NorbertFe 2.300

cj_berlin 1.521

cj_berlin 1.521

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Benutzerkonto erstellen

Anmelden

Menu

Aktivitäten