16
Wie logge ich ein Kerberos Protokoll richtig
Gestern hatte ich ein Problem, mit PowerShell einen freigegebenen Ordner als PSDrive zu mounten. Dafür sollte ich das Kerberos Protokoll loggen. Dabei habe ich alles nach folgender Anleitung erledigt, nur leider wird mir eigentlich so gut wie nichts angezeigt....
Habe ich richtig verstanden, dass das Logging nur auf den Domänencontrollern aktiviert sein muss? Zumindest bekomme ich keine weiteren Einträge als die, die ich bisher hatte. Eventuell war die Protokollierung ja per default schon aktiviert, ich erhalte aber nur die Events mit den IDs 4768, 4769 und 4770, mit denen ich nicht wirklich etwas anfangen kann.
Mein Problem ist, dass ich mich nicht mit einem geteilten Ordner eines Servers verbinden kann. Hierfür bekomme ich aber Leider immer wieder random verschiedene Fehlermeldungen:
den Computer neu gestartet habe, hat aber auch nicht immer funktioniert :\
Meine Vermutung:
Es liegt daran, dass die Synchronisation der Domänencontroller (3 Stück) an irgend einer Stelle fehlgeschlagen ist. Den geteilten Ordner gab es mit demselben Namen schon einmal auf einem anderen Server und seltsamerweise habe ich gestern versucht, mir den Ordner 2x zu mounten:
Versuch1 (erfolgreich):
Es sind absolut keine Einträge im Security Eventlog enthalten...
Edit: {mir ist gerade eingefallen, das macht eventuell auch Sinn, da ich mich mit PowerShell mit einer Session des Kontos auf den Server bereits verbunden hatte, das Ticket habe ich hier eventuell vergessen zu purgen, weshalb kein neues angefordert werden musste?}
Versuch2 (10 min später, nicht erfolgreich):
Vorsicht, neuster Eintrag oben, ältester Eintrag unten von insgesamt 3 Events:
Leider kann ich damit nichts anfangen ^^ 0x0 scheint für Kerberos kein Fehlercode zu sein, für Windows heißt es wohl das System sei beschädigt....
Ich schätze mal aber, da ich zuerst einen Eintrag mit dem neuen Server erhalte und dann direkt vom alten Server, dass es hier wohl noch irgendwo ein Problem mit der Ordnerfreigabe gibt. Das überprüfe ich zunächst einmal, aber kann mir irgendwer genaueres zu dem Log sagen, bzw. ist das überhaupt das richtige Log
?
Vielen lieben Dank schonmal im Voraus,
Micha
Habe ich richtig verstanden, dass das Logging nur auf den Domänencontrollern aktiviert sein muss? Zumindest bekomme ich keine weiteren Einträge als die, die ich bisher hatte. Eventuell war die Protokollierung ja per default schon aktiviert, ich erhalte aber nur die Events mit den IDs 4768, 4769 und 4770, mit denen ich nicht wirklich etwas anfangen kann.
Mein Problem ist, dass ich mich nicht mit einem geteilten Ordner eines Servers verbinden kann. Hierfür bekomme ich aber Leider immer wieder random verschiedene Fehlermeldungen:
- Zugriff verweigert
- Der Netzwerkname wurde nicht gefunden
- ODER: Es funktioniert tatsächlich?? Das ist gestern ein paar mal passiert, als ich mit
klist purge
net session /DELETE
Restart-ComputerMeine Vermutung:
Es liegt daran, dass die Synchronisation der Domänencontroller (3 Stück) an irgend einer Stelle fehlgeschlagen ist. Den geteilten Ordner gab es mit demselben Namen schon einmal auf einem anderen Server und seltsamerweise habe ich gestern versucht, mir den Ordner 2x zu mounten:
Versuch1 (erfolgreich):
Es sind absolut keine Einträge im Security Eventlog enthalten...
Edit: {mir ist gerade eingefallen, das macht eventuell auch Sinn, da ich mich mit PowerShell mit einer Session des Kontos auf den Server bereits verbunden hatte, das Ticket habe ich hier eventuell vergessen zu purgen, weshalb kein neues angefordert werden musste?}
Versuch2 (10 min später, nicht erfolgreich):
Vorsicht, neuster Eintrag oben, ältester Eintrag unten von insgesamt 3 Events:
TimeGenerated InstanceId Message
------------- ---------- -------
03.01.2024 16:10:00 4769 Ein Kerberos-Dienstticket wurde angefordert.
Kontoinformationen:
Kontoname: username@domain.de
Kontodomäne: domain.de
Anmelde-GUID: ******************************
Dienstinformationen:
Dienstname: **Alter Server des geteilten Ordners!!!!!**
Dienst-ID: ******************************
Netzwerkinformationen:
Clientadresse: ******************************
Clientport: 50422
Weitere Informationen:
Ticketoptionen: 0x40810000
Ticketverschlüsselungstyp: 0x12
Fehlercode: 0x0
Übertragene Dienste: -
Dieses Ereignis wird jedes Mal generiert, wenn der Zugriff auf eine Ressource angefordert wird, z. B. auf einen Computer oder einen Windows-Dienst. Der Dienstname steht für die
Ressource, auf die der Zugriff angefordert wurde.
Dieses Ereignis kann mit Windows-Anmeldeereignissen korreliert sein, wenn Anmelde-GUID-Felder in jedem Ereignis verglichen werden. Das Anmeldeereignis findet auf dem Computer
statt, auf den zugegriffen wird, d.h. oft einem anderen Computer als dem Domänencontroller, auf dem das Dienstticket ausgestellt wurde.
Ticketoptionen, Verschlüsselungstypen und Fehlercodes sind in RFC 1510 definiert.
03.01.2024 16:10:00 4769 Ein Kerberos-Dienstticket wurde angefordert.
Kontoinformationen:
Kontoname: username@domain.de
Kontodomäne: domain.de
Anmelde-GUID: ******************************
Dienstinformationen:
Dienstname: **Neuer Server des geteilten Ordners!!!!!**
Dienst-ID: ******************************
Netzwerkinformationen:
Clientadresse: ******************************
Clientport: 50420
Weitere Informationen:
Ticketoptionen: 0x40810000
Ticketverschlüsselungstyp: 0x12
Fehlercode: 0x0
Übertragene Dienste: -
Dieses Ereignis wird jedes Mal generiert, wenn der Zugriff auf eine Ressource angefordert wird, z. B. auf einen Computer oder einen Windows-Dienst. Der Dienstname steht für die
Ressource, auf die der Zugriff angefordert wurde.
Dieses Ereignis kann mit Windows-Anmeldeereignissen korreliert sein, wenn Anmelde-GUID-Felder in jedem Ereignis verglichen werden. Das Anmeldeereignis findet auf dem Computer
statt, auf den zugegriffen wird, d.h. oft einem anderen Computer als dem Domänencontroller, auf dem das Dienstticket ausgestellt wurde.
Ticketoptionen, Verschlüsselungstypen und Fehlercodes sind in RFC 1510 definiert.
03.01.2024 16:10:00 4768 Ein Kerberos-Authentifizierungsticket (TGT) wurde angefordert.
Kontoinformationen:
Kontoname: username **(hier Ohne @domain.de)**
Angegebener Bereichsname: domain **(hier nicht der dotteddomainname)**
Benutzer-ID: ******************************
Dienstinformationen:
Dienstname: krbtgt
Dienst-ID: ******************************
Netzwerkinformationen:
Clientadresse: ******************************
Clientport: 50419
Weitere Informationen:
Ticketoptionen: 0x40810010
Ergebniscode: 0x0
Ticketverschlüsselungstyp: 0x12
Typ vor der Authentifizierung: 2
Zertifikatsinformationen:
Zertifikatausstellername:
Seriennummer des Zertifikats:
Zertifikatfingerabdruck:
Zertifikatinformationen werden nur bereitgestellt, wenn ein Zertifikat zur Vorauthentifizierung verwendet wurde.
Vorauthentifizierungtypen, Ticketoptionen, Verschlüsselungstypen und Ergebniscodes sind in RFC 4120 definiert.Leider kann ich damit nichts anfangen ^^ 0x0 scheint für Kerberos kein Fehlercode zu sein, für Windows heißt es wohl das System sei beschädigt....
Ich schätze mal aber, da ich zuerst einen Eintrag mit dem neuen Server erhalte und dann direkt vom alten Server, dass es hier wohl noch irgendwo ein Problem mit der Ordnerfreigabe gibt. Das überprüfe ich zunächst einmal, aber kann mir irgendwer genaueres zu dem Log sagen, bzw. ist das überhaupt das richtige Log
?Vielen lieben Dank schonmal im Voraus,
Micha
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4156587055
Url: https://administrator.de/contentid/4156587055
Printed on: April 28, 2024 at 05:04 o'clock
16 Comments
Latest comment
Was heißt denn alter Server und neuer Server?
Es liegt wohl leider doch nicht an diesem geteilten Ordner, das Problem besteht nicht nur bei diesem einen Ordner.... Es besteht sogar auf mehreren Servern. Ich habe bisher immer nur versucht irgendwelche Ordner mit anderen Credentials zu mounten, aber sobald ich es mehrmals versuche, kommt bei mir immer wieder die Fehlermeldung: Der Netzwerkname wurde nicht gefunden (obwohl ich es mit TAB autocompletion eingebe...). Es klappt auch immer, sobald ich keine anderen Credentials angebe, aber wenn ich einen anderen Benutzer möchte, dann erhalte ich eben entweder Zugriff oder den Fehler ziemlich willkürlich...
Quote from @8585324113:
Was heißt denn alter Server und neuer Server?
Was heißt denn alter Server und neuer Server?
(alt)Server21 und (neu)Server35, bestehen auch beide noch, damals war der geteilte Ordner XY auf dem alten Server, jetzt ist er auf dem neuen (einfach selber Name, dachte das könnte ein Problem sein, aber da das Problem ja auch bei anderen Ordnern und Servern besteht ist das glaube ich schwachsinn), komischer weise habe ich aber in dem Log den Namen des alten Servers das eine mal auftauchen sehen.
Dienstprinzipalnamen passen? Da gibt es keine Leichen? DNS Aliases usw?
https://www.msxfaq.de/windows/kerberos/kerberosspn.htm
https://www.msxfaq.de/windows/kerberos/kerberosspn.htm
Quote from @8585324113:
Dienstprinzipalnamen passen? Da gibt es keine Leichen? DNS Aliases usw?
https://www.msxfaq.de/windows/kerberos/kerberosspn.htm
Dienstprinzipalnamen passen? Da gibt es keine Leichen? DNS Aliases usw?
https://www.msxfaq.de/windows/kerberos/kerberosspn.htm
Nein, da passt alles, gibt keinen Alias oder Server mit demselben Namen
Auf einmal habe ich aber das Problem an meinem PC, egal was ich mache, ich kann keinen einzigen Ordner mehr, egal auf welchem Server mounten, habe jetzt gerade 8 Ordner getestet und bekomme immer die Nachricht mit dem Netzwerknamen....
Wenn ich das ganze ohne Credentials mache geht es?
Wenn ich das ganze ohne Credentials mache geht es?
Die Fehlermeldung von Windows waren schon immer nicht sehr hilfreich.
DU kannst dir mit Powershell die laufende Verbindung an allen Seiten angucken.
DU kannst dir mit Powershell die laufende Verbindung an allen Seiten angucken.
Quote from @8585324113:
Die Fehlermeldung von Windows waren schon immer nicht sehr hilfreich.
DU kannst dir mit Powershell die laufende Verbindung an allen Seiten angucken.
Die Fehlermeldung von Windows waren schon immer nicht sehr hilfreich.
DU kannst dir mit Powershell die laufende Verbindung an allen Seiten angucken.
Teach me
Spontan GetSMB... Und irgendwelche Security Sachen.
Google mal nach Analyze Kerberos Powershell oder so...
Ein Anfang: https://activedirectoryfaq.com/2016/08/read-kerberos-token-powershell/
Google mal nach Analyze Kerberos Powershell oder so...
Ein Anfang: https://activedirectoryfaq.com/2016/08/read-kerberos-token-powershell/
Wenn es aber ein Kerberos Problem ist, müsste ich dann nicht mit den Accounts selber auch Probleme beim mounten haben? Ich meine, sobald ich mich als anderer Benutzer am PC anmelde, dann funktioniert auch alles einwandfrei.... Das einzige Problem besteht darin, die Credentials mit dem net use oder New-PSDrive mit einzugeben.
Daher sollst Du vergleichen, damit klarer wird in welche Richtung es geht. Im Moment ist Nebel mit zu vielen Variablen.
Um welches Windows Build geht es denn überhaupt?
Um welches Windows Build geht es denn überhaupt?
Mountest Du über FQDN, IP, oder Netbios Namen?
\\domain.local\ordner
\\192.168.69.100\ordner
\\domain\ordner
\\domain.local\ordner
\\192.168.69.100\ordner
\\domain\ordner
Quote from @8585324113:
Daher sollst Du vergleichen, damit klarer wird in welche Richtung es geht. Im Moment ist Nebel mit zu vielen Variablen.
Um welches Windows Build geht es denn überhaupt?
Daher sollst Du vergleichen, damit klarer wird in welche Richtung es geht. Im Moment ist Nebel mit zu vielen Variablen.
Um welches Windows Build geht es denn überhaupt?
Egal ob von meinem Rechner:
Windows11 - PowerShell 5.0
Oder vom Terminalserver:
Windows10 - PowerShell 5.0
Zu egal welchem Server:
Microsoft Windows Server 2022
Microsoft Windows Server 2016
Das komische ist aber, immer wieder nach einem Neustart klappt es doch, auch mit Credentials. Ohne Credentials immer.
Quote from @watIsLos:
Mountest Du über FQDN, IP, oder Netbios Namen?
\\domain.local\ordner
\\192.168.69.100\ordner
\\domain\ordner
Mountest Du über FQDN, IP, oder Netbios Namen?
\\domain.local\ordner
\\192.168.69.100\ordner
\\domain\ordner
Alles probiert, aber meistens mit \\domain\ordner
hi Michi,
wenn Du über "netbios" Namen mountest, dann hat das mit Kerberos Authentifizierung nichts zu tun.
Kerberos erwartet ein FQDN, das heißt
\\domain.local\ordner
Wieso bei dir Kerberos nicht richtig funktioniert, hängt entweder am fehlenden/falschen SPN oder falschen Einstellungen auf einem deiner DC's.
Eine schnelle Lösung hier zu finden ist unrealistisch, das Thema Kerberos ist sehr umfangreich. Du musst erstmal die Grundlagen verstehen und dann Schritt für Schritt deine DC's und Clients durchgehen ob diese alle richtig Eingestellt sind.
Habt Ihr keine IT-Dienstleister oder ITler im Haus der das lösen kann?
wenn Du über "netbios" Namen mountest, dann hat das mit Kerberos Authentifizierung nichts zu tun.
Kerberos erwartet ein FQDN, das heißt
\\domain.local\ordner
Wieso bei dir Kerberos nicht richtig funktioniert, hängt entweder am fehlenden/falschen SPN oder falschen Einstellungen auf einem deiner DC's.
Eine schnelle Lösung hier zu finden ist unrealistisch, das Thema Kerberos ist sehr umfangreich. Du musst erstmal die Grundlagen verstehen und dann Schritt für Schritt deine DC's und Clients durchgehen ob diese alle richtig Eingestellt sind.
Habt Ihr keine IT-Dienstleister oder ITler im Haus der das lösen kann?
wenn Du über "netbios" Namen mountest, dann hat das mit Kerberos Authentifizierung nichts zu tun.
Kerberos erwartet ein FQDN, das heißt
\\domain.local\ordner
Es ist sowieso sehr verwirrend, eben vor der Mittagspause habe ich entdeckt, dass es mit \\netbios\freigabe nicht geklappt hat, aber mit \\netbios\freigabe\ordner hat es geklappt. Aber nicht zu früh freuen, nach der Mittagspause habe ich es nochmals versucht, ohne Erfolg.... Deshalb habe ich es mit \\domain.local\freigabe versucht und auch mit \\domain.local\freigabe\ordner, aber leider hat wieder keins davon funktioniert.Kerberos erwartet ein FQDN, das heißt
\\domain.local\ordner
Wieso bei dir Kerberos nicht richtig funktioniert, hängt entweder am fehlenden/falschen SPN oder falschen Einstellungen auf einem deiner DC's.
Das werde ich mir auf jeden Fall mal anschauen, aber ich habe sowieso schon ein kleines Workaround gefunden. Nicht schön aber nun brauche ich das mounten nicht mehr unbedingt. Neven tut das trotzdem dass es nicht geht 
Eine schnelle Lösung hier zu finden ist unrealistisch, das Thema Kerberos ist sehr umfangreich. Du musst erstmal die Grundlagen verstehen und dann Schritt für Schritt deine DC's und Clients durchgehen ob diese alle richtig Eingestellt sind.
Ja, das ist richtig, habe mich gestern auch das erste mal mit Kerberos beschäftigt, werde mich da aber auf jeden Fall mal informieren.Habt Ihr keine IT-Dienstleister oder ITler im Haus der das lösen kann?
Haben nur eine kleine IT und ich bin selbst im 2. Ausbildungslehrjahr als Softwareentwickler, aber muss mich eben für die Arbeit im Betrieb sowieso viel mit in die Richtung beschäftigen
Das Problem sollte die IT bei dir lösen können, also wenn es echte IT'ler sind. Du als Softwareentwickler wirst da nichts machen können und das ist auch nicht deine Aufgabe!
Wenn ich so ein Problem hätte, dann würde ich meine DC's separat als VHDX Datei mit einem Client in eine VM packen und dort testen. Diese Art von Problemen gerade mit Kerberos auf Live-Systemen (DC's etc...) anpassungen durchzuführen ist unprofessionell, außer man weiß genau was man macht, ansonsten immer Test-Umgebungen dafür verwenden. Es sei den Ihr wollt noch andere Überraschungen erleben
Wenn ich so ein Problem hätte, dann würde ich meine DC's separat als VHDX Datei mit einem Client in eine VM packen und dort testen. Diese Art von Problemen gerade mit Kerberos auf Live-Systemen (DC's etc...) anpassungen durchzuführen ist unprofessionell, außer man weiß genau was man macht, ansonsten immer Test-Umgebungen dafür verwenden. Es sei den Ihr wollt noch andere Überraschungen erleben
1
