RODC - Fehlermeldung krbtgt-Konto

[RalphT 15]

Moin,

 

ich hatte in einer Zweigstelle neben einem DC 2019 einen RODC aufgesetzt. Derzeit laufen noch beide Server parallel. Seit einiger Zeit gibt es die folgende Meldung im DC:

 

Die Signatur auf dem PAC von krbtgt_1234 konnte vom KDC während der TGS-Verarbeitung nicht verifiziert werden. Dies deutet darauf hin, dass das PAC verändert wurde.

 

Bislang habe ich noch keine Lösung dazu gefunden.

[NilsK 2.930]

Moin,

 

vor 9 Minuten schrieb RalphT:

ich hatte in einer Zweigstelle neben einem DC 2019 einen RODC aufgesetzt

 

wozu das denn? Was wolltest du mit so einem Setup erreichen?

 

vor 10 Minuten schrieb RalphT:

Seit einiger Zeit gibt es die folgende Meldung im DC

 

Hast du auch eine Event-ID dazu?

 

Gruß, Nils

 

[zahni 550]

Siehe auch:

https://support.microsoft.com/en-gb/topic/kb5037754-how-to-manage-pac-validation-changes-related-to-cve-2024-26248-and-cve-2024-29056-6e661d4f-799a-4217-b948-be0a1943fef1

 

Es kann nicht schaden, bei dem Konto ein neues Kennwort zu setzen. Welches ist egal. Schön lang und man muss es sich nicht merken. Damit werden alle ausgestellten Tickets ungültig.

bearbeitet 9. September von zahni

[NilsK 2.930]

Moin,

 

hättest du Verwendung für ein "nicht"?

 

Es bleibt aber die Frage, was der TO mit dem Setup bezweckt, das schon ... exotisch ist.

 

Gruß, Nils

[zahni 550]

Hast echt, man muss es mindestens 2x ändern:

 

https://learn.microsoft.com/de-de/windows-server/identity/ad-ds/manage/forest-recovery-guide/ad-forest-recovery-reset-the-krbtgt-password

[RalphT 15]

vor 12 Minuten schrieb NilsK:

wozu das denn? Was wolltest du mit so einem Setup erreichen?

Der eine DC soll abgeschaltet werden. Es soll dann nur noch der RODC in der Zweigstelle laufen.

 

vor 12 Minuten schrieb NilsK:

Hast du auch eine Event-ID dazu?

Die lautet 18.

bearbeitet 9. September von RalphT

[NilsK 2.930]

Moin,

 

vor 12 Minuten schrieb RalphT:

Der eine DC soll abgeschaltet werden. Es soll dann nur noch der RODC in der Zweigstelle laufen.

 

hm. Würde ich eher nicht so machen, kann aber vom Vorgehen her funktionieren, wenn man weiß, was man tut. Aber: Da meiner Erfahrung nach ein RODC "in echt" fast nie sinnvoll ist, würde ich das Konzept prüfen, ob ein RODC wirklich eine sinnvolle Lösung für das Problem (das ich ja nicht kenne) ist.

 

vor 14 Minuten schrieb RalphT:

Die lautet 18.

 

Die Nummer wird in dem KB-Artikel nicht genannt, aber es klingt schon deutlich so, als wäre das dort beschriebene Update der Grund. Ich würde das mal durcharbeiten.

 

vor 18 Minuten schrieb zahni:

Hast echt, man muss es mindestens 2x ändern:

 

Das meine ich nicht.

Du schrobst: "Es kann schaden, bei dem Konto ein neues Kennwort zu setzen." Zwar ist das sicher auch nicht völlig falsch, aber ich vermute, dass du eigentlich das Gegenteil sagen wolltest. Daher meine Nachfrage.

 

Gruß, Nils

PS. hier noch das fehlende R: R.

 

[RalphT 15]

vor 6 Minuten schrieb NilsK:

hm. Würde ich eher nicht so machen, kann aber vom Vorgehen her funktionieren, wenn man weiß, was man tut. Aber: Da meiner Erfahrung nach ein RODC "in echt" fast nie sinnvoll ist, würde ich das Konzept prüfen, ob ein RODC wirklich eine sinnvolle Lösung für das Problem (das ich ja nicht kenne) ist.

 

Das hatte man mir empfohlen. Als Sicherheitsmaßnahme. Ich gebe zu, dass ich vorher noch nie mit einem RODC rumhantiert habe. Bislang läuft ja noch der DC.

Da ich auch beim googlen Beiträge zu diesem Szenario gefunden habe, dachte ich, dass dieses Vorgehen schon ok ist.

 

https://www.ip-insider.de/so-betreiben-sie-schreibgeschuetzte-domaenencontroller-a-f559470f963357cd5c8584b8fb8afb12/

 

Warum würdest du das nicht empfehlen?

bearbeitet 9. September von RalphT

[testperson 1.674]

Hi,

  

vor 1 Minute schrieb RalphT:

Als Sicherheitsmaßnahme.

 

wie hoch ist denn die Gefahr, dass jemand in die Zweigstelle kommt und den RODC klaut bzw. die Hardware klaut, auf der der RODC läuft?

 

Gruß

Jan

[NilsK 2.930]

Moin,

 

weil es meist nicht zum Gesamtaufbau passt, wenn man es sich näher ansieht. Das würde ich jetzt aber nicht anhand deiner Umgebung in einem öffentlichen Forum diskutieren wollen, weil du damit zu viel preisgeben müsstest.

 

Die Grundidee des RODC finde ich nachvollziehbar, aber sie passt eben in der echten Welt höchst selten, weil zu viel um den RODC drumrum ist, was seinen Einsatz unsinnig macht.

 

Gruß, Nils

PS. ... und ich will kein plattes Bashing betreiben, aber auf Artikeln von Thomas Joos würde ich keine Entscheidung aufbauen.

 

bearbeitet 9. September von NilsK

[RalphT 15]

vor 15 Minuten schrieb testperson:

wie hoch ist denn die Gefahr, dass jemand in die Zweigstelle kommt und den RODC klaut bzw. die Hardware klaut, auf der der RODC läuft?

Ungefähr so ähnlich wie in der Hauptzentrale. Ja diesen Grund hatte ich schon öfters gelesen. Wie würde das bei einem Angriff über der Firewall der Zweigstelle aussehen? Dann hätten die Angreifer ja erst mal einen RODC vor sich. Ok, natürlich existiert ein Tunnel zur Zentrale, wo die DCs stehen.

 

Dieses Thema muss ich jetzt hier nicht durchpeitschen. Es war halt nur eine Empfehlung. Vielleicht sollte ich das mal in in einer Testungebung für mich aufbauen und dann in aller Ruhe schauen. Diesen RODC könnte ich ja wieder aus der Domäne entfernen.

bearbeitet 9. September von RalphT

[zahni 550]

vor 43 Minuten schrieb NilsK:

Es kann schaden,

Ah ja, sorry. Habe das kurz vor einem Termin geschrieben.

[NilsK 2.930]

Moin,

 

vor 27 Minuten schrieb RalphT:

Wie würde das bei einem Angriff über der Firewall der Zweigstelle aussehen? Dann hätten die Angreifer ja erst mal einen RODC vor sich.

 

für dieses Szenario ist ein RODC gar nicht gedacht. Bei so einem Angriff gibt es in aller Regel andere Möglichkeiten bzw. Einschränkungen.

 

vor 28 Minuten schrieb RalphT:

Ok, natürlich existiert ein Tunnel zur Zentrale, wo die DCs stehen.

 

Und das wäre schon eine der Sachen, die man bei einem näheren Blick dann feststellt. Wahrscheinlich ist der Standort gar nicht so eine Insel, wie er mit einem RODC konzeptionell gemeint ist.

 

vor 29 Minuten schrieb RalphT:

Diesen RODC könnte ich ja wieder aus der Domäne entfernen.

 

Es wäre jetzt sehr oberflächlich, anhand der bisherigen Diskussion solch konkrete Empfehlungen auszusprechen. Aber wenn du gar nicht so richtig weißt, wozu du einen RODC brauchen könntest, dann ist das zumindest ein gewichtiges Argument, keinen zu haben.

 

Gruß, Nils

 

[RalphT 15]

Der Trigger kam ja aus dieser Sicherheitsempfehlung, die bei uns hier vorgeschlagen wurden. Ich bin natürlich erst einmal davon ausgegangen, dass der Berater schon weiß, was gut ist. Vielleicht hatte er "das Ganze" nicht so direkt vor Augen. Denn schon wie du schreibst, ganz unsinnig ist der RODC nicht, hängt halt von den Gegebenheiten ab.

Bestätigt fühlte ich mich dann von ein oder zwei Berichten, wovon ich ja einen hier gepostet habe.

 

Um jetzt einen evtl. Ärger/Frust aus dem Weg zu gehen, werde ich den RODC entfernen. Ich werde dann wohl in einer ruhigen Minute das Thema in einer Testumgebung mal nachstellen.

 

Besprechen kann ich diese Problematik ja beim nächsten Termin mit dem Berater. Dann kann ich immer noch einen Server aufsetzen.

[NorbertFe 2.027]

vor 2 Minuten schrieb RalphT:

ganz unsinnig ist der RODC nicht

Ne aber fast ganz fast immer. ;)

vor 2 Minuten schrieb RalphT:

Der Trigger kam ja aus dieser Sicherheitsempfehlung, die bei uns hier vorgeschlagen wurden.

Die wir hier aber nicht kennen und somit auch nicht einschätzen können, ob du einer der wenigen bist, wo das sinnvoll ist. Hat Nils oben ja schon mehrfach angedeutet.