Kerberos Armoring, Fehler bei Domain-Trust

[daabm 1.436]

DAS schaff ich mir drauf, wenn wir NTLM weg haben... It's a long way to the top, if you wanna rock'n'roll  Ich glaub hier können sich nur wenige vorstellen, was für ein Aufwand es ist, überhaupt erst mal NTLM loszuwerden in einer Enterprise-Infrastruktur, in der sich niemand jemals darum gekümmert hat, daß DNS "Kerberos-freundlich" ist.

[cj_berlin 1.521]

Ja, das sind die Tickets, und Du müsstest auch ein TGT von BERLIN ausgestellt im 0x3e7 Kontext auf lab02-srv-muc01 finden. Ist es schon im Enforced-Modus oder noch Supported? Denn wenn es schon im Enforced ist, bist Du ja so weit wie ich  

 

[MurdocX 1.006]

@cj_berlin Das Ergebnis habe ich bekommen, also ich vom Member in berlin.local auf den Member in muenchen.local zugegriffen habe.

Anderst herum, wurde es mit einem Fehler quittiert. Leider bisher nur die halbe Miete. So langsam gehen mir die Ideen aus. Ich werde mal das KDC-Logging auf den DCs einschalten.

 

@daabm alles Beides doch "legacy"  

 

Konfiguration

⚙️(Domäne berlin.local) KDC - Kerberos Amoring -> Fail unamored authentication requests

⚙️(Domäne muenchen.local) KDC - Kerberos Amoring -> Supportet

 

berlin.local -> muenchen.local ✅

muenchen.local -> berlin.local ❌

 

* muenchen.local -> berlin.local

klist get cifs/lab02-srv-ber01.berlin.local

Current LogonId is 0:0x673703
Error calling API LsaCallAuthenticationPackage (GetTicket substatus): 0x52e

klist failed with 0xc000006d/-1073741715: The attempted logon is invalid. This is either due to a bad username or authentication information.

 

* Screenshots Member muenchen.local 

 

* Screenshots Member muenchen.local

bearbeitet Mittwoch um 20:06 von MurdocX
Überschriften angepasst

[MurdocX 1.006]

@cj_berlin hast du zufällig bei Dir in der Testumgebung Authenication Policies und Silos? Laut meiner Recherche scheint sich zu verdichten, dass Cross-Forest-Referral ohne Claims/Compound kein FAST enthalten.

 

Kannst du das evtl. gegenprüfen? Ich bin bzgl. Claims/Compound nicht mit festem Schuhwerk unterwegs, um eine valide Aussage treffen zu können.

[cj_berlin 1.521]

@MurdocX nein, keine AuthN Policies hier.

[MurdocX 1.006]

Also ich bin langsam mit meinem Latein am Ende. Ich habe noch etwas mit den Gruppenrichtlinien auf KDC und Kerberos gespielt aber leider keinen Erfolg gehabt. Mir ist der Handshake der Server klar, aber der Vergleich der Wireshark Ergebnisse macht mich leider nicht schlauer. Sobald die Konfiguration im Trust auf beiden Seiten auf "Fail unamored authentication requests" steht, funktioniert die Kommunikation nicht mehr. Getestet ist jeweils mit einer frischen Installation und den aktuellen Oktober-Updates.

 

Sollte noch jemand eine Idee haben, dann bin ich offen das zu testen. 

 

VG,

Jan

[cj_berlin 1.521]

Das ist lustig und traurig zugleich, denn in meinem Lab führt das, was Du beschreibst, zum gegenteiligen Ergebnis...

[MurdocX 1.006]

Ja leider. Normalerweise würde ich jetzt mit der Suche wieder vorne bei der Einrichtung/Konfiguration beginnen. Die Systeme sind sogar in englisch installiert, um hier sonderlocken Fehler vorzubeugen. 

 

Ich bin durchaus bereit eine Teamviewer-Session bereitzustellen, falls sich jemand das antuen möchte  

Sollte kein Interesse bestehen, kann ich das auch verstehen. 

 

[MurdocX 1.006]

Es gibt nur noch 2 Möglichkeiten:

1.  Ich stelle mich einfach zu doof an 🤯
2. @cj_berlin ist ein Magier 🧙‍♂️

 

Ich hab noch 4x Server 2019 hochgezogen. 

• Keine Updates
• Netzwerkkonfig gesetzt
• Domäne hochgezogen
• Trust erstellt (2-Way forest, keine einschränkung bei der auth.)
• Gegenseitiges Anmelden an den anderen Servern
• Kerberos-Tickets enthalten "FAST"

 

Leider keinen Erfolg, sobald es restricted wird. Innerhalb der Domain alles kein Thema.

 

[cj_berlin 1.521]

Wir können uns am Dienstag gern zusammenTeamViewern, schick mir ne PM.