Troubleshooting Kerberos
Contents
1. urrent Logonld is 8 8x19885 ached Tickets 6 HA gt Client markus hengstler CONTOSO LAB COM Server krbtgt CONTOSO LAB COM CONTOSO LAB COM KerbTicket Encryption Type RSADSI RC4 HMAC lt NT gt Ticket Flags x6 Ba gt forwardable forwarded renewable pre_authent Start Time 11 18 2813 17 54 34 local End Time 11718 2813 23 41 24 lt Clocal gt Renew Time 1172572813 3 56 24 local Session Key Type RSADSI RC4 HMAC lt NT gt Client markus hengstler CONTOSO LAB COM Server krbtgt CONTOSO LAB COM CONTOSO LAB COM KerbTicket Encryption Type RSADSI RC4 HMACG lt NT gt Ticket Flags 8x40eB88888 gt forwardable renewable initial pre_authent Start Time 11 18 2813 13 41 24 local End Time 117 1872013 23 41 24 lt Clocal gt Renew Time 11 2572813 3 56 24 local Session Key Type RSADSI RC4 HMAC lt NT gt Client markus hengstler CONTOSO LAB COM Server cifs con red ex2B818 contoso lab com CONTOSO LAB COM KerbTicket Encryption Type AES 256 CTS HMAC SHA1 96 Ticket Flags 8x48a880088 gt forwardable renewable pre_authent Start Time 11 18 2813 19 38 12 local End Time 11 18 2813 23 41 24 local Renew Time 11 25 2813 3 56 24 local Session Key Type AES 256 CTS HMAC SHA1 96 Mit dem Befehl Klist purge lassen sich alle Tickets l schen DIGICOMP 0844 844 822 info digicomp ch www digicomp ch Users markus hengstler gt klist purge urrent Logonld is 8 8x19885 De leting all ticket2. Tipp von Kursleiter Markus Hengstler Troubleshooting Kerberos Authentisierun Fl 7 a Pa IANN TINA A f A ia f f f f Ij j f Seit der Einf hrung von Windows 2000 und damit Active Directory ist Kerberos das Standard Authentisierungsver fahren Die lteren Protokolle NTLM und NTLMv2 werden allerdings immer noch unterst tzt da eventuell nicht alle Clients mit Kerberos umgehen k nnen Es ist daher nicht erstaunlich dass viele Administratoren glauben in ihrer Umgebung werde Kerberos verwendet dies aber aus di versen Gr nden nicht der Fall ist In Wirklichkeit findet ein Fallback zu NTLM statt Kerberos bietet aber einige Vorteile E Single Sign on m glich E Bessere Performance als NTLM In diesem Artikel m chte ich einerseits grob erkl ren wie Kerberos funktioniert und welche Voraussetzungen erf llt sein m ssen andererseits auch zeigen welche Mittel f r das Troubleshooting zur Verf gung stehen Die Authentisierung Generell wird die Authentisierung immer durchgef hrt wenn ein User oder Computer auf eine Ressource zugreifen will Es muss festgestellt werden wer den Zugriff durchf h ren will bevor anhand von Berechtigungen gepr ft werden kann ob die Aktion erlaubt ist Authentisierung und Autori sierung sind immer separate Prozesse Die Identit t wird in Active Directory mittels Security Identifier SID verwaltet Jeder Account ob User oder DIGICOMP 0844 844 822
3. info digicomp ch www digicomp ch kann Computer hat eine SID nach Migrationen eventuell sogar mehrere Der Befehl WhoAml zeigt diese SID des angemel deten Benutzers an G Users markus hengstler gt whoami user USER INFORMATION User Name 5 21 1628558189 4161858664 1568383498 1135 contoso lab markus hengstler S WhoAmi zeigt die SID des angemeldeten Benutzers Jede Gruppe der ein Benutzer angeh rt hat ebenfalls eine SID Bei der Anmeldung werden alle Gruppen und die Benutzer SID zusammengefasst und in ein Access Token geschrieben Dieses kann dann f r die Autorisierung verwendet werden Genauer Es wird jedem Prozess der gestartet wird angeh ngt und beim Zugriff auf Ressourcen wie Dateien oder Ordner mit den SIDs in den Access Control Lists ACL verglichen Auch die Gruppen SID kann mit WhoAml berpr ft werden berpr fen der Gruppen SID mit WhoAml Woher stammen nun die Informationen Sie werden von der lokalen Sicherheitsautorit t und der Dom ne zur Verf gung gestellt Die Dom nen SIDs In den Screenshots diejenigen mit der langen Nummer bekommt der Benutzer im Rahmen der Authentisierung vom Domain Controller mitgeteilt Dazu muss der Benutzer aber erst glaubhaft machen dass er derjenige ist den er vorgibt zu sein Wie funktioniert Kerberos F r Kerberos l uft der Authentisierungsprozess wie folgt ab E Der Benutzer verbindet sich mit einem speziellen Ser vice auf einem Dom
4. det Nach Erhalt des TGT muss der Benutzer sein Passwort nicht mehr eingeben Mit dem TGT beweist er gegen ber dem TGS dass seine Identit t schon gepr ft worden ist Sowohl TGT als auch ST haben eine G ltigkeitsdauer von 10 Stunden wobei dies konfigurierbar ist Voraussetzungen f r eine erfolgreiche Authentisie rung mit Kerberos Damit Kerberos erfolgreich ist und kein Fallback auf NTLM erfolgt m ssen folgende Voraussetzungen erf llt sein E Der Service Principal Name muss registriert und eindeu tig sein Oft verhindern Duplikate eine Authentisierung wenn manuell SPNs hinzugef gt worden sind E Der Client muss den FQDN im Service Principal Name f r die Verbindung benutzen Gerade wenn Loadbalancer verwendet werden ist zus tzliche Konfiguration n tig da der SPN nur f r ein Computeraccount registriert werden kann In Exchange wird das Problem mit einem virtuellen Computeraccount gel st hnlich wie bei Failover Clustering E Alle Parteien m ssen die gleichen Verschl sselungsalgo rithmen f r Kerberos Tickets unterst tzen Ab Windows 7 und Windows Server 2008 R2 wird zum Beispiel DES standardm ssig nicht mehr zugelassen Dies muss f r alte Clients oder Applikationen per Gruppenrichtlinie bersteuert werden E F r Szenarien in denen sich ein Service gegen ber einem anderen Service als Benutzer ausgeben muss Constraint Delegation z B Webapplikation mit Zugriff auf eine SQL Datenbank m ssen sowohl f r
5. oreignsearityPrindpals Enterprise Admins onTosoas frakushengse 7 Managed Service Accounts BR Enterprise Rend orly Doi heng E Microsoft Exchange Securit x z C Users Beeren Logon Hours Logon To Exchange Domain Server A Exchange Enterprise Ser FederatedEmail 4c1f4dsl IT Unlock account BR Group Policy Creator Ow KA Guest Account options gR RAS and IAS Servers z z re era mn A A m Schema Admins 3 e e A R SystemMailbox 1f05a92 Tomat card is required for interactive logon amp SystemMailbbox e0dc 1c2 is sensitive and cannot be delegated x Troubleshooting Tools f r Kerberos Nat rlich kann f r Kerberos Troubleshooting wie f r die Screenshots in obigem Beispiel Microsofts Netzwerk Mo nitor oder ein vergleichbares Analyse Tool wie Wireshark verwendet werden Mit den entsprechenden Filtern l sst sich die Konversation zwischen Client Domain Controller und Zielserver verfolgen Display Filter X Apply WK Remove WS History v Z Load Filter v X Kerberosv5 Frame Summary Kerberosv5 Ghrfindw 4 f G Autoscroll 2 Color Rules A Frame Number Time Date Local Adjusted Time Offset Process Name Source Destination Protocol Name Description 31 19 30 12 18 11 2013 10 2552196 192 168 1 233 192 168 1 230 KerberosV5 KerberosV5 TGS Request Realm CONTOSO LAB COM Sname afs con red ex20 10 contoso lab com 33 19 30 12 18 11 2013 10 2577114 192 168 1 230 192 168 1 233 Kerberosv5 KerberosV5 TGS Respons
6. Netz Zugriff auf einen Webserver im internen Netz oder wie im Beispiel f r eine Anmeldung an einer Workstation sein 1140 37 1732062 CON RED 020 con red dc1 c 1143 37 1739377 con red dci c KerberosV5 KerberosV5 TGS Request Realm CONTOSO LAB COM CON RED 020 Kerberosv5 markus hengstier KerberosV5 TGS Response Cname E Der Service Name ist der sogenannte Service Principal Name SPN der aus Service FODN besteht Im Beispiel unten host con red 02010 eine Workstation ReqBody H SequenceHeader 9 TagO 9 KdcOptions 0x40810000 9 Tag2 0x1 Realm CONTOSO LAB COM 9 Tag3 Sname host con red 02010 contoso la NULL E Das Service Ticket beinhaltet einen Session Key zwi schen Benutzer und dem Service jeweils verschl sselt mit deren eigenem Key E Mit dem Service Ticket verbindet sich der Benutzer mit dem Service Er schickt einen Datensatz Authenticator mit verschl sselt mit dem Session Key Der Service selbst hat den Session Key ebenfalls zur Verf gung und kann damit best tigen dass der Benutzer diesen erfolg reich aus dem Ticket extrahieren konnte und deshalb authentisch sein muss DIGICOMP 0844 844 822 info digicomp ch www digicomp ch Optional kann der Benutzer auch eine Authentisierung des Services verlangen Mutual Authentication Dann schickt der Server ebenfalls einen Authenticator den der Benutzer verifizieren kann Wieso wird ein zweistufiger Prozess mit TGT und ST verwen
7. Processing entry found A group of duplicate SPNs G Users Administrator gt setspn x Checking domain DC contoso lab DC com Processing entry exchangeMDB CON RED EXZ2818 is registered on these accounts CN CON RED E Z2883 CN Computers DC contoso lab DC com CN CON RED E Z2818 CN Computers DC contoso lab DC com found 1 group of duplicate SPNs Da der SPN ein Attribut der Accounts in AD ist kann auch ADSIEdit verwendet werden um SPNs zu erstellen oder zu l schen ee EIEJEIGIE TE Z ADSI Edit CN CON Actions ed 2 Default naming context CON F M CN CON RED EX2003 RED EX2003 0N Co 7 E DC contosoJab DC com 6 CN CON RED EX2010 computer CN CON RED EX20 10 CN Co E CN Builtin E CN CON RED 02010 computer CN CON RED 02010 CN Con More Actions C CN Computers nem E CN CON RED EXX RED EXZO 1x EI CN CON RED EXA BJ CN CON RED 020 F OU Domain Controllers Attribute Editor Securty More Artions Multi valued String Editor x E CN ForeignSecurityPrir Attribute servicePrincipalName E CN LostAndFound E CN Managed Service Value to add E OU Microsoft Exchang E KK Fr ON Mirosoft Exchang operatingSystemVersi 5 2 3 aa E CN NTDS Quotas primaryGroupID 515 Values pwdLastSet 30 10 JexchangeMDB CON RED EX2003 replPropertyMetaData AttiD exchangeMDB con red ex2003 contoso4ab com AMAccountN CON exchangeMDB CON RED EX2010 DOLEN SENID e
8. ain Controller dem Key Distribu tion Center KDC ber Port TCP88 und verlangt vom Authentication Service AS ein Ticket Granting Ticket TGT Der Request beinhaltet auch Daten die mit dem User Key verschl sselt sind Da der User Key mit dem Passwort des Benutzers erstellt wurde kann der DC verifizieren dass der Sender des Requests dieses Pass wort wirklich gekannt hat Im Screenshot ist ersichtlich dass f r den Benutzer markus hengstler in der Dom ne CONTOSO LAB f r den Service Kerberos TGT ein Ticket angefordert und ausgestellt wurde Das Ticket beinhaltet einen Session Key der f r die Kommunikation mit dem Ticket Granting Service TGS verwendet werden kann einmal verschl sselt mit dem User Key und einmal mit dem Key des Services selbst 1122 37 1333988 CON RED 020 con ted dei c KerberosV5 KerberosV5 AS u Cname markus ealm CONTOSO LAB Sname krbtgt CONTOSO LAB 1123 37 1339141 con ed dc1 c CONRED 020 KerberosV5 KerberosV5 KRB_ERROR KDC_ERR_PREAUTH N REQUIRED 1131 37 1703273 CON RED 020 con red dei c KerberosV5 KerberosV5 AS er Cname markus tler Realm CONTOSO LAB Sname krbtgt CONTOSO LAB 1132 37 1710878 con r red del c CONRED OR KerberosV5 KerberosVS5 AS Response Ticket Rei alm CONTOSO LAB COM Sname krbtgt CONTOSO LAB COM E Der Benutzer verbindet sich abermals zum KDC und for dert mit Hilfe des Session Keys vom TGS ein Service Ti cket ST an Dies kann f r einen Dateizugriff bers
9. den Service der den Benutzer verk rpert als auch f r den Benutzer selbst die Delegation zugelassen sein Active Directory Users and Computers Fie Action View Help e m o RO RS 3 BA BR aTr E CON RED EX2003 E g contoso lab com E CON RED X2010 Builtin E CON RED 02010 Computers n a ax ForeignSecurityPrindipals Managed Service Accounts E Microsoft Exchange Securit Users General Operating System Member Of Delegation Location Managed By Dialin Delegation is a security sensitive operation which allows services to act on behalf of another user C Do not trust this computer for delegation C Trust this computer for delegation to any service Kerberos only Trust this computer for delegation to specified services only Use Kerberos only Use any authentication protocol Services to which this account can present delegated credentials Service Type User or Computer Port Service N b S X loj x T Active Directory Users and Comput Name Remote Desktop Services Profle Personal Vitual Desktop COM E Saved Queries General Address Account Profile Telephones Organization Member Of E contoso Jab com File Acton View Help Domain Admins g Domain Computers Buitin 2 Domain Controllers ee tions E Computers BR Domain Guests markus hengstler contoso4sb com E Domain Controllers ge D er en 2000 a E
10. e Cname markus hengstier 203 19 30 20 18 11 2013 18 0867802 192 168 1 233 192 168 1 230 KerberosV5 KerberosV5 AS Request Cname administrator Realm CONTOSO LAB Sname krbtgt CONTOSO LAB 204 19 30 20 18 11 2013 18 0873617 192 168 1 230 192 168 1 233 KerberosV5 KerberosV5 KRB_ERROR KDC_ERR_PREAUTH_REQUIRED 25 211 19 30 20 18 11 2013 18 0878639 192 168 1 233 192 168 1 230 Kerberosv5 KerberosV5 AS Request Cname administrator Realm CONTOSO LAB Sname krbtgt CONTOSO LAB 212 19 30 20 18 11 2013 18 0884883 192 168 1 230 192 168 1 233 KerberosV5 KerberosV5 AS Response Ticket Realm CONTOSO LAB COM Sname krbtgt CONTOSO LAB COM 221 19 30 20 18 11 2013 18 0839896 192 168 1 233 192 168 1 230 Kerberosv5 KerberosV5 TGS Request Realm CONTOSO LAB COM Sname afs con red ex20 10 contoso lab com 223 19 30 0 18 11 2013 18 0900174 192 168 1 20 192 168 1 233 Kerberosv5 KerberosV5 TGS Response Cname Administrator Gewisse Fehler lassen sich so einfach aufdecken u Falsche Service Principal Names E Keine Kerberos Kommunikation m glich wegen Fire walls E Verschl sselungstyp f r Kerberos Ticket wird von einer Partei nicht unterst tzt F r andere F lle ist es hilfreich die ausgestellten Ker beros Tickets auf dem Client zu untersuchen oder die gespeicherten Tickets zu l schen damit sie neu erstellt werden m ssen Dazu kann das Tool Klist verwendet werden das ab Windows 7 und Windows Server 2008 R2 eingebaut ist gt Users markus hengstler gt klist
11. erst ndnis der Funktionsweise der Authentisierungs verfahren
12. s Ticket lt s purged Zur Anzeige der Service Principal Names empfiehlt sich der Befehl setspn Mit ihm lassen sich nicht nur SPNs erstellen und anzeigen sondern auch nach doppelten suchen Dies ist ein h ufiges Problem wenn manuell Namen hinzugef gt werden m ssen Jeder SPN muss eindeutig sein Der Befehl setspn Q con red ex2010 contoso lab com zum Beispiel zeigt alle SPNs des Hosts con red ex2010 an G Users Administrator gt setspn Q con red ex2B1B contoso lab com Checking domain DC contoso lab DC com CN CON RED EX2818 CN Computers DC contoso 1lahb DC com POP CON RED EX2818 POP CON RED E X2B818 contoso lab com POP3 CON RED EX2818 POP3 CON RED EXZ2B818 contoso lab com IMAP CON RED EX2818 IMAP CON RED EX2818 contoso lab com IMAP4 CON RED EX2818 IMAP4 CON RED EX2818 contoso lab com exchangeRFR CON RED EX2818 exchangeRFR CON RED EX2818 contoso lab com exchangeAB CON RED EX2818 exchangenAB CON RED EX2818 contoso lah com exchangeMDB CON RED E 2B18 contoso lab com exchangeMDB CON RED EX2818 SMTP CON RED EX2818 SMTP CON RED EX2B818 contoso lah com SmtpSvc CON RED EX2818 SmtpSvc CON RED ER2B818 contoso lah com USMAN CON RED EX2818 USMAN CON RED EX2818 contoso lab com RestrictedKrbHost CON RED EX2818 HOST CON RED EX2818 RestrictedKrbHost CON RED EX2818 contoso lahb com HOST CON RED EX2818 contoso lab com Setspn X sucht nach Duplikaten G Users Administrator gt setspn x Checking domain DC contoso lab DC com
13. xchangeRFR CON RED EX2003 sAMAccountType 80530 exchangeRFR con ted ex2003 contosoJab com servicePrincipalName excha ee HOST conred contosoJab com userAccountControl 100 S MTPSVC CON RED EX2003 uSNChanged 4817 SMTPSVC con ed ex2003 contosoJab com uSNCreated 12864 E CN Program Data CN System BE CN Users Ebenfalls hilfreich ist das Security Eventlog In diesem lassen sich je nach Einstellung von Audit und Kerberos De bugging rudiment re oder sehr detaillierte Informationen 191113 ber erfolgreiche und fehlgeschlagene Authentisierungen gewinnen Q Audit Success 18 11 2013 20 02 02 Microsoft Windows seour 4672 SpedalLogon Q Audit Success 18 11 2013 20 02 02 Microsoft Windows secur 4769 Kerberos Service Ticket O 3 In Windows Server 2008 R2 l sst sich das Debug Logging f r Kerberos in der Registrierung konfigurieren Der Key LogLevel existiert standardm ssig nicht und muss erstellt werden Dadurch werden zwar mehr Informationen geloggt aber Achtung Es gibt auch viele Events die kein Problem darstellen und zu erwarten sind System DIGICOMP 0844 844 822 info digicomp ch www digicomp ch Fazit Obwohl die Authentisierung in Active Directory blicher weise ohne zus tzlichen Aufwand funktioniert ist es ratsam sicherzustellen dass Kerberos statt NTLM verwen det wird Dazu stehen diverse Hilfsmittel zur Verf gung Voraussetzung um diese auch verwenden zu k nnen ist ein V
Download Pdf Manuals
Related Search