michi.wtr
Goto Top

Wie logge ich ein Kerberos Protokoll richtig

Gestern hatte ich ein Problem, mit PowerShell einen freigegebenen Ordner als PSDrive zu mounten. Dafür sollte ich das Kerberos Protokoll loggen. Dabei habe ich alles nach folgender Anleitung erledigt, nur leider wird mir eigentlich so gut wie nichts angezeigt....

Habe ich richtig verstanden, dass das Logging nur auf den Domänencontrollern aktiviert sein muss? Zumindest bekomme ich keine weiteren Einträge als die, die ich bisher hatte. Eventuell war die Protokollierung ja per default schon aktiviert, ich erhalte aber nur die Events mit den IDs 4768, 4769 und 4770, mit denen ich nicht wirklich etwas anfangen kann.

Mein Problem ist, dass ich mich nicht mit einem geteilten Ordner eines Servers verbinden kann. Hierfür bekomme ich aber Leider immer wieder random verschiedene Fehlermeldungen:
  • Zugriff verweigert
  • Der Netzwerkname wurde nicht gefunden
  • ODER: Es funktioniert tatsächlich?? Das ist gestern ein paar mal passiert, als ich mit
klist purge
net session /DELETE
Restart-Computer
den Computer neu gestartet habe, hat aber auch nicht immer funktioniert :\

Meine Vermutung:
Es liegt daran, dass die Synchronisation der Domänencontroller (3 Stück) an irgend einer Stelle fehlgeschlagen ist. Den geteilten Ordner gab es mit demselben Namen schon einmal auf einem anderen Server und seltsamerweise habe ich gestern versucht, mir den Ordner 2x zu mounten:

Versuch1 (erfolgreich):
Es sind absolut keine Einträge im Security Eventlog enthalten...
Edit: {mir ist gerade eingefallen, das macht eventuell auch Sinn, da ich mich mit PowerShell mit einer Session des Kontos auf den Server bereits verbunden hatte, das Ticket habe ich hier eventuell vergessen zu purgen, weshalb kein neues angefordert werden musste?}

Versuch2 (10 min später, nicht erfolgreich):
Vorsicht, neuster Eintrag oben, ältester Eintrag unten von insgesamt 3 Events:
TimeGenerated       InstanceId Message
-------------       ---------- -------
03.01.2024 16:10:00       4769 Ein Kerberos-Dienstticket wurde angefordert.

                               Kontoinformationen:
                                Kontoname:              username@domain.de

                                Kontodomäne:            domain.de

                                Anmelde-GUID:           ******************************                                                                                                                   

                               Dienstinformationen:
                                Dienstname:            **Alter Server des geteilten Ordners!!!!!**

                                Dienst-ID:              ******************************


                               Netzwerkinformationen:
                                Clientadresse:          ******************************                                                                                                                                      
                                Clientport:             50422


                               Weitere Informationen:
                                Ticketoptionen:         0x40810000                                                                                                                                               
                                Ticketverschlüsselungstyp:      0x12                                                                                                                                             
                                Fehlercode:             0x0

                                Übertragene Dienste:    -                                                                                                                                                        

                               Dieses Ereignis wird jedes Mal generiert, wenn der Zugriff auf eine Ressource angefordert wird, z. B. auf einen Computer oder einen Windows-Dienst. Der Dienstname steht für die
                               Ressource, auf die der Zugriff angefordert wurde.

                               Dieses Ereignis kann mit Windows-Anmeldeereignissen korreliert sein, wenn Anmelde-GUID-Felder in jedem Ereignis verglichen werden.  Das Anmeldeereignis findet auf dem Computer
                               statt, auf den zugegriffen wird, d.h. oft einem anderen Computer als dem Domänencontroller, auf dem das Dienstticket ausgestellt wurde.

                               Ticketoptionen, Verschlüsselungstypen und Fehlercodes sind in RFC 1510 definiert.
03.01.2024 16:10:00       4769 Ein Kerberos-Dienstticket wurde angefordert.

                               Kontoinformationen:
                                Kontoname:              username@domain.de

                                Kontodomäne:            domain.de

                                Anmelde-GUID:           ******************************


                               Dienstinformationen:
                                Dienstname:             **Neuer Server des geteilten Ordners!!!!!**

                                Dienst-ID:              ******************************


                               Netzwerkinformationen:
                                Clientadresse:          ******************************

                                Clientport:             50420


                               Weitere Informationen:
                                Ticketoptionen:         0x40810000

                                Ticketverschlüsselungstyp:      0x12

                                Fehlercode:             0x0

                                Übertragene Dienste:    -


                               Dieses Ereignis wird jedes Mal generiert, wenn der Zugriff auf eine Ressource angefordert wird, z. B. auf einen Computer oder einen Windows-Dienst. Der Dienstname steht für die
                               Ressource, auf die der Zugriff angefordert wurde.

                               Dieses Ereignis kann mit Windows-Anmeldeereignissen korreliert sein, wenn Anmelde-GUID-Felder in jedem Ereignis verglichen werden.  Das Anmeldeereignis findet auf dem Computer
                               statt, auf den zugegriffen wird, d.h. oft einem anderen Computer als dem Domänencontroller, auf dem das Dienstticket ausgestellt wurde.

                               Ticketoptionen, Verschlüsselungstypen und Fehlercodes sind in RFC 1510 definiert.
03.01.2024 16:10:00       4768 Ein Kerberos-Authentifizierungsticket (TGT) wurde angefordert.

                               Kontoinformationen:
                                Kontoname:                              username     **(hier Ohne @domain.de)**

                                Angegebener Bereichsname:               domain    **(hier nicht der dotteddomainname)**

                                Benutzer-ID:                            ******************************


                               Dienstinformationen:
                                Dienstname:                             krbtgt

                                Dienst-ID:                              ******************************


                               Netzwerkinformationen:
                                Clientadresse:                          ******************************

                                Clientport:                             50419


                               Weitere Informationen:
                                Ticketoptionen:                 0x40810010

                                Ergebniscode:                           0x0

                                Ticketverschlüsselungstyp:              0x12

                                Typ vor der Authentifizierung:  2

                               Zertifikatsinformationen:
                                Zertifikatausstellername:

                                Seriennummer des Zertifikats:

                                Zertifikatfingerabdruck:


                               Zertifikatinformationen werden nur bereitgestellt, wenn ein Zertifikat zur Vorauthentifizierung verwendet wurde.

                               Vorauthentifizierungtypen, Ticketoptionen, Verschlüsselungstypen und Ergebniscodes sind in RFC 4120 definiert.


Leider kann ich damit nichts anfangen ^^ 0x0 scheint für Kerberos kein Fehlercode zu sein, für Windows heißt es wohl das System sei beschädigt....
Ich schätze mal aber, da ich zuerst einen Eintrag mit dem neuen Server erhalte und dann direkt vom alten Server, dass es hier wohl noch irgendwo ein Problem mit der Ordnerfreigabe gibt. Das überprüfe ich zunächst einmal, aber kann mir irgendwer genaueres zu dem Log sagen, bzw. ist das überhaupt das richtige Log face-smile ?


Vielen lieben Dank schonmal im Voraus,
Micha

Content-ID: 4156587055

Url: https://administrator.de/en/wie-logge-ich-ein-kerberos-protokoll-richtig-4156587055.html

Ausgedruckt am: 22.12.2024 um 02:12 Uhr

8585324113
8585324113 04.01.2024 um 07:35:04 Uhr
Goto Top
Was heißt denn alter Server und neuer Server?
michi.wtr
michi.wtr 04.01.2024 um 07:44:41 Uhr
Goto Top
Es liegt wohl leider doch nicht an diesem geteilten Ordner, das Problem besteht nicht nur bei diesem einen Ordner.... Es besteht sogar auf mehreren Servern. Ich habe bisher immer nur versucht irgendwelche Ordner mit anderen Credentials zu mounten, aber sobald ich es mehrmals versuche, kommt bei mir immer wieder die Fehlermeldung: Der Netzwerkname wurde nicht gefunden (obwohl ich es mit TAB autocompletion eingebe...). Es klappt auch immer, sobald ich keine anderen Credentials angebe, aber wenn ich einen anderen Benutzer möchte, dann erhalte ich eben entweder Zugriff oder den Fehler ziemlich willkürlich...
michi.wtr
michi.wtr 04.01.2024 aktualisiert um 07:48:13 Uhr
Goto Top
Quote from @8585324113:

Was heißt denn alter Server und neuer Server?

(alt)Server21 und (neu)Server35, bestehen auch beide noch, damals war der geteilte Ordner XY auf dem alten Server, jetzt ist er auf dem neuen (einfach selber Name, dachte das könnte ein Problem sein, aber da das Problem ja auch bei anderen Ordnern und Servern besteht ist das glaube ich schwachsinn), komischer weise habe ich aber in dem Log den Namen des alten Servers das eine mal auftauchen sehen.
8585324113
8585324113 04.01.2024 aktualisiert um 07:51:10 Uhr
Goto Top
Dienstprinzipalnamen passen? Da gibt es keine Leichen? DNS Aliases usw?

https://www.msxfaq.de/windows/kerberos/kerberosspn.htm
michi.wtr
michi.wtr 04.01.2024 um 07:58:45 Uhr
Goto Top
Quote from @8585324113:

Dienstprinzipalnamen passen? Da gibt es keine Leichen? DNS Aliases usw?

https://www.msxfaq.de/windows/kerberos/kerberosspn.htm

Nein, da passt alles, gibt keinen Alias oder Server mit demselben Namen
michi.wtr
michi.wtr 04.01.2024 um 08:00:31 Uhr
Goto Top
Auf einmal habe ich aber das Problem an meinem PC, egal was ich mache, ich kann keinen einzigen Ordner mehr, egal auf welchem Server mounten, habe jetzt gerade 8 Ordner getestet und bekomme immer die Nachricht mit dem Netzwerknamen....
Wenn ich das ganze ohne Credentials mache geht es?
8585324113
8585324113 04.01.2024 um 08:07:19 Uhr
Goto Top
Die Fehlermeldung von Windows waren schon immer nicht sehr hilfreich.

DU kannst dir mit Powershell die laufende Verbindung an allen Seiten angucken.
michi.wtr
michi.wtr 04.01.2024 um 08:10:13 Uhr
Goto Top
Quote from @8585324113:

Die Fehlermeldung von Windows waren schon immer nicht sehr hilfreich.

DU kannst dir mit Powershell die laufende Verbindung an allen Seiten angucken.

Teach me face-smile
8585324113
8585324113 04.01.2024 aktualisiert um 08:19:24 Uhr
Goto Top
Spontan GetSMB... Und irgendwelche Security Sachen.

Google mal nach Analyze Kerberos Powershell oder so...

Ein Anfang: https://activedirectoryfaq.com/2016/08/read-kerberos-token-powershell/
michi.wtr
michi.wtr 04.01.2024 um 08:48:47 Uhr
Goto Top
Wenn es aber ein Kerberos Problem ist, müsste ich dann nicht mit den Accounts selber auch Probleme beim mounten haben? Ich meine, sobald ich mich als anderer Benutzer am PC anmelde, dann funktioniert auch alles einwandfrei.... Das einzige Problem besteht darin, die Credentials mit dem net use oder New-PSDrive mit einzugeben.
8585324113
8585324113 04.01.2024 um 08:53:00 Uhr
Goto Top
Daher sollst Du vergleichen, damit klarer wird in welche Richtung es geht. Im Moment ist Nebel mit zu vielen Variablen.

Um welches Windows Build geht es denn überhaupt?
watIsLos
watIsLos 04.01.2024 aktualisiert um 10:46:15 Uhr
Goto Top
Mountest Du über FQDN, IP, oder Netbios Namen?


\\domain.local\ordner

\\192.168.69.100\ordner

\\domain\ordner
michi.wtr
michi.wtr 04.01.2024 um 11:19:52 Uhr
Goto Top
Quote from @8585324113:

Daher sollst Du vergleichen, damit klarer wird in welche Richtung es geht. Im Moment ist Nebel mit zu vielen Variablen.

Um welches Windows Build geht es denn überhaupt?

Egal ob von meinem Rechner:
Windows11 - PowerShell 5.0

Oder vom Terminalserver:
Windows10 - PowerShell 5.0

Zu egal welchem Server:
Microsoft Windows Server 2022
Microsoft Windows Server 2016


Das komische ist aber, immer wieder nach einem Neustart klappt es doch, auch mit Credentials. Ohne Credentials immer.


Quote from @watIsLos:

Mountest Du über FQDN, IP, oder Netbios Namen?


\\domain.local\ordner

\\192.168.69.100\ordner

\\domain\ordner

Alles probiert, aber meistens mit \\domain\ordner
watIsLos
watIsLos 04.01.2024 aktualisiert um 12:55:43 Uhr
Goto Top
hi Michi,

wenn Du über "netbios" Namen mountest, dann hat das mit Kerberos Authentifizierung nichts zu tun.

Kerberos erwartet ein FQDN, das heißt

\\domain.local\ordner

Wieso bei dir Kerberos nicht richtig funktioniert, hängt entweder am fehlenden/falschen SPN oder falschen Einstellungen auf einem deiner DC's.

Eine schnelle Lösung hier zu finden ist unrealistisch, das Thema Kerberos ist sehr umfangreich. Du musst erstmal die Grundlagen verstehen und dann Schritt für Schritt deine DC's und Clients durchgehen ob diese alle richtig Eingestellt sind.

Habt Ihr keine IT-Dienstleister oder ITler im Haus der das lösen kann?
michi.wtr
michi.wtr 04.01.2024 um 13:16:48 Uhr
Goto Top
wenn Du über "netbios" Namen mountest, dann hat das mit Kerberos Authentifizierung nichts zu tun.

Kerberos erwartet ein FQDN, das heißt

\\domain.local\ordner
Es ist sowieso sehr verwirrend, eben vor der Mittagspause habe ich entdeckt, dass es mit \\netbios\freigabe nicht geklappt hat, aber mit \\netbios\freigabe\ordner hat es geklappt. Aber nicht zu früh freuen, nach der Mittagspause habe ich es nochmals versucht, ohne Erfolg.... Deshalb habe ich es mit \\domain.local\freigabe versucht und auch mit \\domain.local\freigabe\ordner, aber leider hat wieder keins davon funktioniert.

Wieso bei dir Kerberos nicht richtig funktioniert, hängt entweder am fehlenden/falschen SPN oder falschen Einstellungen auf einem deiner DC's.
Das werde ich mir auf jeden Fall mal anschauen, aber ich habe sowieso schon ein kleines Workaround gefunden. Nicht schön aber nun brauche ich das mounten nicht mehr unbedingt. Neven tut das trotzdem dass es nicht geht face-sad

Eine schnelle Lösung hier zu finden ist unrealistisch, das Thema Kerberos ist sehr umfangreich. Du musst erstmal die Grundlagen verstehen und dann Schritt für Schritt deine DC's und Clients durchgehen ob diese alle richtig Eingestellt sind.
Ja, das ist richtig, habe mich gestern auch das erste mal mit Kerberos beschäftigt, werde mich da aber auf jeden Fall mal informieren.

Habt Ihr keine IT-Dienstleister oder ITler im Haus der das lösen kann?
Haben nur eine kleine IT und ich bin selbst im 2. Ausbildungslehrjahr als Softwareentwickler, aber muss mich eben für die Arbeit im Betrieb sowieso viel mit in die Richtung beschäftigen face-smile
watIsLos
watIsLos 04.01.2024 um 14:33:12 Uhr
Goto Top
Das Problem sollte die IT bei dir lösen können, also wenn es echte IT'ler sind. Du als Softwareentwickler wirst da nichts machen können und das ist auch nicht deine Aufgabe!

Wenn ich so ein Problem hätte, dann würde ich meine DC's separat als VHDX Datei mit einem Client in eine VM packen und dort testen. Diese Art von Problemen gerade mit Kerberos auf Live-Systemen (DC's etc...) anpassungen durchzuführen ist unprofessionell, außer man weiß genau was man macht, ansonsten immer Test-Umgebungen dafür verwenden. Es sei den Ihr wollt noch andere Überraschungen erleben face-wink