RalphT 15 Geschrieben 9. September Melden Teilen Geschrieben 9. September Moin, ich hatte in einer Zweigstelle neben einem DC 2019 einen RODC aufgesetzt. Derzeit laufen noch beide Server parallel. Seit einiger Zeit gibt es die folgende Meldung im DC: Die Signatur auf dem PAC von krbtgt_1234 konnte vom KDC während der TGS-Verarbeitung nicht verifiziert werden. Dies deutet darauf hin, dass das PAC verändert wurde. Bislang habe ich noch keine Lösung dazu gefunden. Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 9. September Melden Teilen Geschrieben 9. September Moin, vor 9 Minuten schrieb RalphT: ich hatte in einer Zweigstelle neben einem DC 2019 einen RODC aufgesetzt wozu das denn? Was wolltest du mit so einem Setup erreichen? vor 10 Minuten schrieb RalphT: Seit einiger Zeit gibt es die folgende Meldung im DC Hast du auch eine Event-ID dazu? Gruß, Nils Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 9. September Melden Teilen Geschrieben 9. September (bearbeitet) Siehe auch: https://support.microsoft.com/en-gb/topic/kb5037754-how-to-manage-pac-validation-changes-related-to-cve-2024-26248-and-cve-2024-29056-6e661d4f-799a-4217-b948-be0a1943fef1 Es kann nicht schaden, bei dem Konto ein neues Kennwort zu setzen. Welches ist egal. Schön lang und man muss es sich nicht merken. Damit werden alle ausgestellten Tickets ungültig. bearbeitet 9. September von zahni Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 9. September Melden Teilen Geschrieben 9. September Moin, hättest du Verwendung für ein "nicht"? Es bleibt aber die Frage, was der TO mit dem Setup bezweckt, das schon ... exotisch ist. Gruß, Nils Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 9. September Melden Teilen Geschrieben 9. September Hast echt, man muss es mindestens 2x ändern: https://learn.microsoft.com/de-de/windows-server/identity/ad-ds/manage/forest-recovery-guide/ad-forest-recovery-reset-the-krbtgt-password Zitieren Link zu diesem Kommentar
RalphT 15 Geschrieben 9. September Autor Melden Teilen Geschrieben 9. September (bearbeitet) vor 12 Minuten schrieb NilsK: wozu das denn? Was wolltest du mit so einem Setup erreichen? Der eine DC soll abgeschaltet werden. Es soll dann nur noch der RODC in der Zweigstelle laufen. vor 12 Minuten schrieb NilsK: Hast du auch eine Event-ID dazu? Die lautet 18. bearbeitet 9. September von RalphT Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 9. September Melden Teilen Geschrieben 9. September Moin, vor 12 Minuten schrieb RalphT: Der eine DC soll abgeschaltet werden. Es soll dann nur noch der RODC in der Zweigstelle laufen. hm. Würde ich eher nicht so machen, kann aber vom Vorgehen her funktionieren, wenn man weiß, was man tut. Aber: Da meiner Erfahrung nach ein RODC "in echt" fast nie sinnvoll ist, würde ich das Konzept prüfen, ob ein RODC wirklich eine sinnvolle Lösung für das Problem (das ich ja nicht kenne) ist. vor 14 Minuten schrieb RalphT: Die lautet 18. Die Nummer wird in dem KB-Artikel nicht genannt, aber es klingt schon deutlich so, als wäre das dort beschriebene Update der Grund. Ich würde das mal durcharbeiten. vor 18 Minuten schrieb zahni: Hast echt, man muss es mindestens 2x ändern: Das meine ich nicht. Du schrobst: "Es kann schaden, bei dem Konto ein neues Kennwort zu setzen." Zwar ist das sicher auch nicht völlig falsch, aber ich vermute, dass du eigentlich das Gegenteil sagen wolltest. Daher meine Nachfrage. Gruß, Nils PS. hier noch das fehlende R: R. Zitieren Link zu diesem Kommentar
RalphT 15 Geschrieben 9. September Autor Melden Teilen Geschrieben 9. September (bearbeitet) vor 6 Minuten schrieb NilsK: hm. Würde ich eher nicht so machen, kann aber vom Vorgehen her funktionieren, wenn man weiß, was man tut. Aber: Da meiner Erfahrung nach ein RODC "in echt" fast nie sinnvoll ist, würde ich das Konzept prüfen, ob ein RODC wirklich eine sinnvolle Lösung für das Problem (das ich ja nicht kenne) ist. Das hatte man mir empfohlen. Als Sicherheitsmaßnahme. Ich gebe zu, dass ich vorher noch nie mit einem RODC rumhantiert habe. Bislang läuft ja noch der DC. Da ich auch beim googlen Beiträge zu diesem Szenario gefunden habe, dachte ich, dass dieses Vorgehen schon ok ist. https://www.ip-insider.de/so-betreiben-sie-schreibgeschuetzte-domaenencontroller-a-f559470f963357cd5c8584b8fb8afb12/ Warum würdest du das nicht empfehlen? bearbeitet 9. September von RalphT Zitieren Link zu diesem Kommentar
testperson 1.677 Geschrieben 9. September Melden Teilen Geschrieben 9. September Hi, vor 1 Minute schrieb RalphT: Als Sicherheitsmaßnahme. wie hoch ist denn die Gefahr, dass jemand in die Zweigstelle kommt und den RODC klaut bzw. die Hardware klaut, auf der der RODC läuft? Gruß Jan Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 9. September Melden Teilen Geschrieben 9. September (bearbeitet) Moin, weil es meist nicht zum Gesamtaufbau passt, wenn man es sich näher ansieht. Das würde ich jetzt aber nicht anhand deiner Umgebung in einem öffentlichen Forum diskutieren wollen, weil du damit zu viel preisgeben müsstest. Die Grundidee des RODC finde ich nachvollziehbar, aber sie passt eben in der echten Welt höchst selten, weil zu viel um den RODC drumrum ist, was seinen Einsatz unsinnig macht. Gruß, Nils PS. ... und ich will kein plattes Bashing betreiben, aber auf Artikeln von Thomas Joos würde ich keine Entscheidung aufbauen. bearbeitet 9. September von NilsK 1 Zitieren Link zu diesem Kommentar
RalphT 15 Geschrieben 9. September Autor Melden Teilen Geschrieben 9. September (bearbeitet) vor 15 Minuten schrieb testperson: wie hoch ist denn die Gefahr, dass jemand in die Zweigstelle kommt und den RODC klaut bzw. die Hardware klaut, auf der der RODC läuft? Ungefähr so ähnlich wie in der Hauptzentrale. Ja diesen Grund hatte ich schon öfters gelesen. Wie würde das bei einem Angriff über der Firewall der Zweigstelle aussehen? Dann hätten die Angreifer ja erst mal einen RODC vor sich. Ok, natürlich existiert ein Tunnel zur Zentrale, wo die DCs stehen. Dieses Thema muss ich jetzt hier nicht durchpeitschen. Es war halt nur eine Empfehlung. Vielleicht sollte ich das mal in in einer Testungebung für mich aufbauen und dann in aller Ruhe schauen. Diesen RODC könnte ich ja wieder aus der Domäne entfernen. bearbeitet 9. September von RalphT Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 9. September Melden Teilen Geschrieben 9. September vor 43 Minuten schrieb NilsK: Es kann schaden, Ah ja, sorry. Habe das kurz vor einem Termin geschrieben. Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 9. September Melden Teilen Geschrieben 9. September Moin, vor 27 Minuten schrieb RalphT: Wie würde das bei einem Angriff über der Firewall der Zweigstelle aussehen? Dann hätten die Angreifer ja erst mal einen RODC vor sich. für dieses Szenario ist ein RODC gar nicht gedacht. Bei so einem Angriff gibt es in aller Regel andere Möglichkeiten bzw. Einschränkungen. vor 28 Minuten schrieb RalphT: Ok, natürlich existiert ein Tunnel zur Zentrale, wo die DCs stehen. Und das wäre schon eine der Sachen, die man bei einem näheren Blick dann feststellt. Wahrscheinlich ist der Standort gar nicht so eine Insel, wie er mit einem RODC konzeptionell gemeint ist. vor 29 Minuten schrieb RalphT: Diesen RODC könnte ich ja wieder aus der Domäne entfernen. Es wäre jetzt sehr oberflächlich, anhand der bisherigen Diskussion solch konkrete Empfehlungen auszusprechen. Aber wenn du gar nicht so richtig weißt, wozu du einen RODC brauchen könntest, dann ist das zumindest ein gewichtiges Argument, keinen zu haben. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
RalphT 15 Geschrieben 9. September Autor Melden Teilen Geschrieben 9. September Der Trigger kam ja aus dieser Sicherheitsempfehlung, die bei uns hier vorgeschlagen wurden. Ich bin natürlich erst einmal davon ausgegangen, dass der Berater schon weiß, was gut ist. Vielleicht hatte er "das Ganze" nicht so direkt vor Augen. Denn schon wie du schreibst, ganz unsinnig ist der RODC nicht, hängt halt von den Gegebenheiten ab. Bestätigt fühlte ich mich dann von ein oder zwei Berichten, wovon ich ja einen hier gepostet habe. Um jetzt einen evtl. Ärger/Frust aus dem Weg zu gehen, werde ich den RODC entfernen. Ich werde dann wohl in einer ruhigen Minute das Thema in einer Testumgebung mal nachstellen. Besprechen kann ich diese Problematik ja beim nächsten Termin mit dem Berater. Dann kann ich immer noch einen Server aufsetzen. Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 9. September Melden Teilen Geschrieben 9. September vor 2 Minuten schrieb RalphT: ganz unsinnig ist der RODC nicht Ne aber fast ganz fast immer. ;) vor 2 Minuten schrieb RalphT: Der Trigger kam ja aus dieser Sicherheitsempfehlung, die bei uns hier vorgeschlagen wurden. Die wir hier aber nicht kennen und somit auch nicht einschätzen können, ob du einer der wenigen bist, wo das sinnvoll ist. Hat Nils oben ja schon mehrfach angedeutet. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.