accessviolation
Goto Top

Kerberos-Ticket läuft ab - Kein Zugang zum Netz nach Zeitspanne X

Hallo Adminas und Admins,

häufig bin ich via Teamviewer bei einem Kunden auf dessen Rechner.
Solange ich via TV verbunden bin, greift kein AutoLogout / Bildschirmschoner nach 10 Minuten.

Nun zum Problem:
Nach mehreren Stunden verliert der Rechner sämtliche Zugänge zu den Netzlaufwerken (rotes X). Doppelklick sagt dann soviel wie: "Schon verbunden, kann nichtnochmal drauf zugreifen / keine Verbindung" [Hab den Wortlaut aktuell nicht im Kopf].
Abhilfe: System kurz sperren, entsperren, alles wieder fein.

Umgebung: Latest Win10 Pro, DCs: latest MSSRV 2019, mehrere DCs, 2016er Forrest.

Meine Vermutung: Kerberosticket läuft ab.

Interessanterweise sind die Tickets nur 4 Stunden gültig, gesetzt via GPO (secpol) sind aber 600 Minuten (Dienst) bzw. 10 Stunden (Benutzer) gesetzt.

kerbticket

        Client: *snipped* @ *snipped*
        Server: krbtgt/*snipped* @ *snipped*
        KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96
        Ticketkennzeichen 0xe10000 -> renewable initial pre_authent name_canonicalize
        Startzeit: 12/8/2023 11:23:02 (lokal)
        Endzeit:   12/8/2023 15:23:02 (lokal)
        Erneuerungszeit: 12/8/2023 15:23:02 (lokal)
        Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96
        Cachekennzeichen: 0x1 -> PRIMARY
        KDC aufgerufen: *snipped*

Blöd, weil ich Ghostfiles (bspw. eines geöffneten Excelsheets) hinterlasse und damit nicht mehr in das File rein komme, ohne Umwege. >:

Hat mir jemand nen Wink mit nem Zaunpfahl, wie ich das in den Griff bekomme bzw. die Ticketgültigkeit verlängern oder das renewing vernünftig debuggen kann?
GPOs werden verteilt und angewendet, fehlerfrei. Ich vermute, ich suche am falschen Ort?

Danke und viele Grüße

Content-Key: 12516098945

Url: https://administrator.de/contentid/12516098945

Printed on: May 26, 2024 at 06:05 o'clock

Mitglied: 3063370895
Solution 3063370895 Dec 08, 2023 updated at 11:30:06 (UTC)
Goto Top
Hi,

ist der User eventuell in der Gruppe "Protected Users" / "Geschützte Benutzer" ? dann haben die Kerberos-Tickets nur 4 Stunden Gültigkeit.

https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/h ...

Gruß
Member: DerWoWusste
Solution DerWoWusste Dec 08, 2023 updated at 11:43:20 (UTC)
Goto Top
Genau. Und zudem:
Domain controller protections for Protected Users
Accounts that are members of the Protected Users group that authenticate to a Windows Server 2012 R2 domain are unable to:
...
Renew the Kerberos TGTs beyond the initial four-hour lifetime.
Das passt ins Bild.
(Quelle: https://learn.microsoft.com/en-us/windows-server/security/credentials-pr ... )
Member: accessViolation
accessViolation Dec 08, 2023 updated at 11:52:44 (UTC)
Goto Top
Hi Ihr Zwei,

treffer & versenkt. User in der Protected Users Gruppe.

Danke! Hatte ich nicht (mehr) auf dem Schirm.

Schönen Freitag!

Viele Grüße
Member: DerWoWusste
DerWoWusste Dec 08, 2023 at 12:09:28 (UTC)
Goto Top
User in der Protected Users Gruppe.
Hauptsache es ist kein Domänenadmin face-smile
Member: accessViolation
accessViolation Dec 08, 2023 updated at 12:25:32 (UTC)
Goto Top
Hauptsache es ist kein Domänenadmin face-smile
Nur meinen Useraccount[Arbeite mit LAPS](als nicht DomAdmin aber als SysAdmin) und den Backupadmin^ der Domäne face-smile

Hatte ich überhaupt nicht mehr im Sinn - wenn einem das eigene Interesse an Sicherheit im Netz ein Bein stellt. :D

Guter Fund Ihr Zwei face-smile

^ = Backupadmin (Domänen)Account - nicht der Account für das Backup :D