Wie logge ich ein Kerberos Protokoll richtig
Gestern hatte ich ein Problem, mit PowerShell einen freigegebenen Ordner als PSDrive zu mounten. Dafür sollte ich das Kerberos Protokoll loggen. Dabei habe ich alles nach folgender Anleitung erledigt, nur leider wird mir eigentlich so gut wie nichts angezeigt....
Habe ich richtig verstanden, dass das Logging nur auf den Domänencontrollern aktiviert sein muss? Zumindest bekomme ich keine weiteren Einträge als die, die ich bisher hatte. Eventuell war die Protokollierung ja per default schon aktiviert, ich erhalte aber nur die Events mit den IDs 4768, 4769 und 4770, mit denen ich nicht wirklich etwas anfangen kann.
Mein Problem ist, dass ich mich nicht mit einem geteilten Ordner eines Servers verbinden kann. Hierfür bekomme ich aber Leider immer wieder random verschiedene Fehlermeldungen:
den Computer neu gestartet habe, hat aber auch nicht immer funktioniert :\
Meine Vermutung:
Es liegt daran, dass die Synchronisation der Domänencontroller (3 Stück) an irgend einer Stelle fehlgeschlagen ist. Den geteilten Ordner gab es mit demselben Namen schon einmal auf einem anderen Server und seltsamerweise habe ich gestern versucht, mir den Ordner 2x zu mounten:
Versuch1 (erfolgreich):
Es sind absolut keine Einträge im Security Eventlog enthalten...
Edit: {mir ist gerade eingefallen, das macht eventuell auch Sinn, da ich mich mit PowerShell mit einer Session des Kontos auf den Server bereits verbunden hatte, das Ticket habe ich hier eventuell vergessen zu purgen, weshalb kein neues angefordert werden musste?}
Versuch2 (10 min später, nicht erfolgreich):
Vorsicht, neuster Eintrag oben, ältester Eintrag unten von insgesamt 3 Events:
Leider kann ich damit nichts anfangen ^^ 0x0 scheint für Kerberos kein Fehlercode zu sein, für Windows heißt es wohl das System sei beschädigt....
Ich schätze mal aber, da ich zuerst einen Eintrag mit dem neuen Server erhalte und dann direkt vom alten Server, dass es hier wohl noch irgendwo ein Problem mit der Ordnerfreigabe gibt. Das überprüfe ich zunächst einmal, aber kann mir irgendwer genaueres zu dem Log sagen, bzw. ist das überhaupt das richtige Log ?
Vielen lieben Dank schonmal im Voraus,
Micha
Habe ich richtig verstanden, dass das Logging nur auf den Domänencontrollern aktiviert sein muss? Zumindest bekomme ich keine weiteren Einträge als die, die ich bisher hatte. Eventuell war die Protokollierung ja per default schon aktiviert, ich erhalte aber nur die Events mit den IDs 4768, 4769 und 4770, mit denen ich nicht wirklich etwas anfangen kann.
Mein Problem ist, dass ich mich nicht mit einem geteilten Ordner eines Servers verbinden kann. Hierfür bekomme ich aber Leider immer wieder random verschiedene Fehlermeldungen:
- Zugriff verweigert
- Der Netzwerkname wurde nicht gefunden
- ODER: Es funktioniert tatsächlich?? Das ist gestern ein paar mal passiert, als ich mit
klist purge
net session /DELETE
Restart-Computer
Meine Vermutung:
Es liegt daran, dass die Synchronisation der Domänencontroller (3 Stück) an irgend einer Stelle fehlgeschlagen ist. Den geteilten Ordner gab es mit demselben Namen schon einmal auf einem anderen Server und seltsamerweise habe ich gestern versucht, mir den Ordner 2x zu mounten:
Versuch1 (erfolgreich):
Es sind absolut keine Einträge im Security Eventlog enthalten...
Edit: {mir ist gerade eingefallen, das macht eventuell auch Sinn, da ich mich mit PowerShell mit einer Session des Kontos auf den Server bereits verbunden hatte, das Ticket habe ich hier eventuell vergessen zu purgen, weshalb kein neues angefordert werden musste?}
Versuch2 (10 min später, nicht erfolgreich):
Vorsicht, neuster Eintrag oben, ältester Eintrag unten von insgesamt 3 Events:
TimeGenerated InstanceId Message
------------- ---------- -------
03.01.2024 16:10:00 4769 Ein Kerberos-Dienstticket wurde angefordert.
Kontoinformationen:
Kontoname: username@domain.de
Kontodomäne: domain.de
Anmelde-GUID: ******************************
Dienstinformationen:
Dienstname: **Alter Server des geteilten Ordners!!!!!**
Dienst-ID: ******************************
Netzwerkinformationen:
Clientadresse: ******************************
Clientport: 50422
Weitere Informationen:
Ticketoptionen: 0x40810000
Ticketverschlüsselungstyp: 0x12
Fehlercode: 0x0
Übertragene Dienste: -
Dieses Ereignis wird jedes Mal generiert, wenn der Zugriff auf eine Ressource angefordert wird, z. B. auf einen Computer oder einen Windows-Dienst. Der Dienstname steht für die
Ressource, auf die der Zugriff angefordert wurde.
Dieses Ereignis kann mit Windows-Anmeldeereignissen korreliert sein, wenn Anmelde-GUID-Felder in jedem Ereignis verglichen werden. Das Anmeldeereignis findet auf dem Computer
statt, auf den zugegriffen wird, d.h. oft einem anderen Computer als dem Domänencontroller, auf dem das Dienstticket ausgestellt wurde.
Ticketoptionen, Verschlüsselungstypen und Fehlercodes sind in RFC 1510 definiert.
03.01.2024 16:10:00 4769 Ein Kerberos-Dienstticket wurde angefordert.
Kontoinformationen:
Kontoname: username@domain.de
Kontodomäne: domain.de
Anmelde-GUID: ******************************
Dienstinformationen:
Dienstname: **Neuer Server des geteilten Ordners!!!!!**
Dienst-ID: ******************************
Netzwerkinformationen:
Clientadresse: ******************************
Clientport: 50420
Weitere Informationen:
Ticketoptionen: 0x40810000
Ticketverschlüsselungstyp: 0x12
Fehlercode: 0x0
Übertragene Dienste: -
Dieses Ereignis wird jedes Mal generiert, wenn der Zugriff auf eine Ressource angefordert wird, z. B. auf einen Computer oder einen Windows-Dienst. Der Dienstname steht für die
Ressource, auf die der Zugriff angefordert wurde.
Dieses Ereignis kann mit Windows-Anmeldeereignissen korreliert sein, wenn Anmelde-GUID-Felder in jedem Ereignis verglichen werden. Das Anmeldeereignis findet auf dem Computer
statt, auf den zugegriffen wird, d.h. oft einem anderen Computer als dem Domänencontroller, auf dem das Dienstticket ausgestellt wurde.
Ticketoptionen, Verschlüsselungstypen und Fehlercodes sind in RFC 1510 definiert.
03.01.2024 16:10:00 4768 Ein Kerberos-Authentifizierungsticket (TGT) wurde angefordert.
Kontoinformationen:
Kontoname: username **(hier Ohne @domain.de)**
Angegebener Bereichsname: domain **(hier nicht der dotteddomainname)**
Benutzer-ID: ******************************
Dienstinformationen:
Dienstname: krbtgt
Dienst-ID: ******************************
Netzwerkinformationen:
Clientadresse: ******************************
Clientport: 50419
Weitere Informationen:
Ticketoptionen: 0x40810010
Ergebniscode: 0x0
Ticketverschlüsselungstyp: 0x12
Typ vor der Authentifizierung: 2
Zertifikatsinformationen:
Zertifikatausstellername:
Seriennummer des Zertifikats:
Zertifikatfingerabdruck:
Zertifikatinformationen werden nur bereitgestellt, wenn ein Zertifikat zur Vorauthentifizierung verwendet wurde.
Vorauthentifizierungtypen, Ticketoptionen, Verschlüsselungstypen und Ergebniscodes sind in RFC 4120 definiert.
Leider kann ich damit nichts anfangen ^^ 0x0 scheint für Kerberos kein Fehlercode zu sein, für Windows heißt es wohl das System sei beschädigt....
Ich schätze mal aber, da ich zuerst einen Eintrag mit dem neuen Server erhalte und dann direkt vom alten Server, dass es hier wohl noch irgendwo ein Problem mit der Ordnerfreigabe gibt. Das überprüfe ich zunächst einmal, aber kann mir irgendwer genaueres zu dem Log sagen, bzw. ist das überhaupt das richtige Log ?
Vielen lieben Dank schonmal im Voraus,
Micha
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4156587055
Url: https://administrator.de/en/wie-logge-ich-ein-kerberos-protokoll-richtig-4156587055.html
Ausgedruckt am: 22.12.2024 um 02:12 Uhr
16 Kommentare
Neuester Kommentar
Was heißt denn alter Server und neuer Server?
Dienstprinzipalnamen passen? Da gibt es keine Leichen? DNS Aliases usw?
https://www.msxfaq.de/windows/kerberos/kerberosspn.htm
https://www.msxfaq.de/windows/kerberos/kerberosspn.htm
Die Fehlermeldung von Windows waren schon immer nicht sehr hilfreich.
DU kannst dir mit Powershell die laufende Verbindung an allen Seiten angucken.
DU kannst dir mit Powershell die laufende Verbindung an allen Seiten angucken.
Spontan GetSMB... Und irgendwelche Security Sachen.
Google mal nach Analyze Kerberos Powershell oder so...
Ein Anfang: https://activedirectoryfaq.com/2016/08/read-kerberos-token-powershell/
Google mal nach Analyze Kerberos Powershell oder so...
Ein Anfang: https://activedirectoryfaq.com/2016/08/read-kerberos-token-powershell/
Daher sollst Du vergleichen, damit klarer wird in welche Richtung es geht. Im Moment ist Nebel mit zu vielen Variablen.
Um welches Windows Build geht es denn überhaupt?
Um welches Windows Build geht es denn überhaupt?
hi Michi,
wenn Du über "netbios" Namen mountest, dann hat das mit Kerberos Authentifizierung nichts zu tun.
Kerberos erwartet ein FQDN, das heißt
\\domain.local\ordner
Wieso bei dir Kerberos nicht richtig funktioniert, hängt entweder am fehlenden/falschen SPN oder falschen Einstellungen auf einem deiner DC's.
Eine schnelle Lösung hier zu finden ist unrealistisch, das Thema Kerberos ist sehr umfangreich. Du musst erstmal die Grundlagen verstehen und dann Schritt für Schritt deine DC's und Clients durchgehen ob diese alle richtig Eingestellt sind.
Habt Ihr keine IT-Dienstleister oder ITler im Haus der das lösen kann?
wenn Du über "netbios" Namen mountest, dann hat das mit Kerberos Authentifizierung nichts zu tun.
Kerberos erwartet ein FQDN, das heißt
\\domain.local\ordner
Wieso bei dir Kerberos nicht richtig funktioniert, hängt entweder am fehlenden/falschen SPN oder falschen Einstellungen auf einem deiner DC's.
Eine schnelle Lösung hier zu finden ist unrealistisch, das Thema Kerberos ist sehr umfangreich. Du musst erstmal die Grundlagen verstehen und dann Schritt für Schritt deine DC's und Clients durchgehen ob diese alle richtig Eingestellt sind.
Habt Ihr keine IT-Dienstleister oder ITler im Haus der das lösen kann?
Das Problem sollte die IT bei dir lösen können, also wenn es echte IT'ler sind. Du als Softwareentwickler wirst da nichts machen können und das ist auch nicht deine Aufgabe!
Wenn ich so ein Problem hätte, dann würde ich meine DC's separat als VHDX Datei mit einem Client in eine VM packen und dort testen. Diese Art von Problemen gerade mit Kerberos auf Live-Systemen (DC's etc...) anpassungen durchzuführen ist unprofessionell, außer man weiß genau was man macht, ansonsten immer Test-Umgebungen dafür verwenden. Es sei den Ihr wollt noch andere Überraschungen erleben
Wenn ich so ein Problem hätte, dann würde ich meine DC's separat als VHDX Datei mit einem Client in eine VM packen und dort testen. Diese Art von Problemen gerade mit Kerberos auf Live-Systemen (DC's etc...) anpassungen durchzuführen ist unprofessionell, außer man weiß genau was man macht, ansonsten immer Test-Umgebungen dafür verwenden. Es sei den Ihr wollt noch andere Überraschungen erleben