Kerberos Armoring, Fehler bei Domain-Trust

[daabm 1.436]

DAS schaff ich mir drauf, wenn wir NTLM weg haben... It's a long way to the top, if you wanna rock'n'roll  Ich glaub hier können sich nur wenige vorstellen, was für ein Aufwand es ist, überhaupt erst mal NTLM loszuwerden in einer Enterprise-Infrastruktur, in der sich niemand jemals darum gekümmert hat, daß DNS "Kerberos-freundlich" ist.

[cj_berlin 1.521]

Ja, das sind die Tickets, und Du müsstest auch ein TGT von BERLIN ausgestellt im 0x3e7 Kontext auf lab02-srv-muc01 finden. Ist es schon im Enforced-Modus oder noch Supported? Denn wenn es schon im Enforced ist, bist Du ja so weit wie ich  

 

[MurdocX 1.006]

@cj_berlin Das Ergebnis habe ich bekommen, also ich vom Member in berlin.local auf den Member in muenchen.local zugegriffen habe.

Anderst herum, wurde es mit einem Fehler quittiert. Leider bisher nur die halbe Miete. So langsam gehen mir die Ideen aus. Ich werde mal das KDC-Logging auf den DCs einschalten.

 

@daabm alles Beides doch "legacy"  

 

Konfiguration

⚙️(Domäne berlin.local) KDC - Kerberos Amoring -> Fail unamored authentication requests

⚙️(Domäne muenchen.local) KDC - Kerberos Amoring -> Supportet

 

berlin.local -> muenchen.local ✅

muenchen.local -> berlin.local ❌

 

* muenchen.local -> berlin.local

klist get cifs/lab02-srv-ber01.berlin.local

Current LogonId is 0:0x673703
Error calling API LsaCallAuthenticationPackage (GetTicket substatus): 0x52e

klist failed with 0xc000006d/-1073741715: The attempted logon is invalid. This is either due to a bad username or authentication information.

 

* Screenshots Member muenchen.local 

 

* Screenshots Member muenchen.local

bearbeitet vor 2 Stunden von MurdocX
Überschriften angepasst