Hi, danke, werde ich mir gleich mal anschauen. Mir fiel dann auch noch ein Vortrag namens „Windows Logons Revealed“ von Mark Minasi auf der TechEd 2008 ein. Bei der Suche bin ich dann noch über http://channel9.msdn.com/Events/TechEd/Europe/2009/SIA401 gestolpert; das könnte auch passen. Vielleicht hilft das ja auch Anderen weiter. Mit freundlichen Grüßen Thomas Wallutis Senior Consultant Phone: +49 (0)7152 33552 30 Mobil: +49 (0)172 37990 64 Fax: +49 (0)7152 33552 39 EMail: thomas.wallutis@xxxxxxxxxxxxxxxxx krügernetwork GmbH Consulting & Training Bahnhofstraße 63, D - 71229 Leonberg (Germany) Geschäftsführer: Samuel Krüger Sitz der Gesellschaft: Leonberg, Amtsgericht Stuttgart, HRB 730101 UST-IDNr.: DE 265501645 http://www.kruegernetwork.de This email contains information which is confidential and may be privileged. Unless you are the intended addressee (or authorised to receive for the addressee) you may not use, forward, copy or disclose to anyone this email or any information contained in this email. If you have received this email in error, please advise the sender by reply email immediately and delete this email. Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von Lars Fischer Gesendet: Donnerstag, 7. März 2013 23:26 An: adde@xxxxxxxxxxxxx Betreff: [adde] AW: [adde] AW: [adde] Re: Kerberos und Passwortänderung Hallo Thomas, wenn du zu Kerberos mal nen guten Beitrag dir anschauen willst dann empfehle ich diesen Link -> http://www.microsoft.com/germany/msdn/launch2008/library.aspx?id=T04_DO_1715 die PPT gibt’s auch zum Download Gruß Lars Mit freundlichen Grüßen / with kind regards Lars Fischer Abteilungsleiter TSV 1846 Nürnberg e.V. Abteilung Rugby Tel: 0170 / 3094931 Facebook: https://www.facebook.com/rugbynuernberg Mail: vorsitzender@xxxxxxxxxxxxxxxxxx<mailto:vorsitzender@xxxxxxxxxxxxxxxxxx> Web: http://www.rugby-nuernberg.de<http://www.rugby-nuernberg.de/> Vorstand Verein zur Förderung des Rugbysports in der Metropolregion Nürnberg e.V. Langer Steig 14 90425 Nürnberg Fax: 0911 / 3666622 Facebook: https://www.facebook.com/4rugby Mail: fischer@xxxxxxxxx<mailto:fischer@xxxxxxxxx> Web: http://www.4rugby.de<http://www.4rugby.de/> Steuernummer: 241/111/41998, VR 201393 Vereinsregister Nürnberg. P Vor dem Ausdruck dieser E-Mail bedenken Sie bitte, dass überflüssiges drucken die Umwelt belastet before printing this e-mail, please be aware redundant printing may accelerate environmental damage Diese Nachricht ist nur für den vorgesehenen Empfänger bestimmt. Sollten Sie nicht der vorgesehene Empfänger dieser E-Mail und ihres Inhalts sein oder diese E-Mail irrtümlich erhalten haben, bitten wir Sie, den Absender unverzüglich darüber zu informieren und diese Nachricht und all ihre Anhänge vollständig von Ihrem Computer zu löschen. Jede Form der unbefugten Nutzung, Veröffentlichung, des Kopierens oder der Offenlegung des Inhalts dieser E-Mail ist nicht gestattet. This message is intended for the addressee only. If you are not the intended recipient of this e-mail message and its content or have received this e-mail in error, please notify the sender immediately and delete this message and all its attachments. Any form of unauthorized use, publication, copying or disclosure of the content of this e-mail is prohibited. Von: adde-ml@xxxxxxxxxxxxx<mailto:adde-ml@xxxxxxxxxxxxx> [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von Thomas Wallutis Gesendet: Donnerstag, 7. März 2013 18:19 An: adde@xxxxxxxxxxxxx<mailto:adde@xxxxxxxxxxxxx> Betreff: [adde] AW: [adde] Re: Kerberos und Passwortänderung Hi, Witzbold;-) Das ist mir schon klar, dass das PW nicht im Klartext übertragen wird. Nachdem was ich bisher gefunden habe, wird wohl mit dem PW-Hash die Client-Zeit verschlüsselt und das Ergebnis ist dann Teil des KRB_AS_REQ Paketes. Leider ist die Dokumentation eher spärlich (oder ich kaufe die falschen Bücher und bin zu doof zum Googeln) und auch nicht ganz eindeutig. Nehmen wir nun mal an dass der PW-Hash nur bei diesem Paket ins Spiel kommt. So wie ich das verstanden habe, erfolgt die Versendung des KRB_AS_REQ-Paketes (für den User) bei der Anmeldung mit seinem Domänen-Konto am PC. Bei erfolgreicher Anmeldung erhält der User dann sein TGT und (so stand es auch wo) ein TGS-Ticket für den PC. Bei einer Anmeldung mit gecachten Anmeldedaten müsste dass dann ja nach der Anmeldung am PC erfolgen; also wenn die VPN-Verbindung steht. Ich gehe mal davon aus dass eine Passwortänderung sofort die gecachten Daten in der Registry überschreibt. Da das PW nur beim KRB_AS_REQ-Paket benutzt wird und das TGT acht Stunden gültig ist, sehe ich noch keinen Grund warum der User fünf Minuten nach der PW-Änderung aus dem Netz geworfen werden sollte (wobei mal wieder nicht genau klar ist, was wirklich passierte). Und ich finde auch keinen logischen Grund, warum eine PW-Änderung durch den Admin einen Aussperrung des Users zur Folge haben sollte. Oder lässt sich eine Situation konstruieren, bei der der User im KRB_AS_REQ-Paket noch sein altes Kennwort (ja, ja, seinen Hash) nutzt obwohl der DC schon sein neues Kennwort kennt? Mit freundlichen Grüßen Thomas Wallutis Senior Consultant Phone: +49 (0)7152 33552 30 Mobil: +49 (0)172 37990 64 Fax: +49 (0)7152 33552 39 EMail: thomas.wallutis@xxxxxxxxxxxxxxxxx<mailto:thomas.wallutis@xxxxxxxxxxxxxxxxx> krügernetwork GmbH Consulting & Training Bahnhofstraße 63, D - 71229 Leonberg (Germany) Geschäftsführer: Samuel Krüger Sitz der Gesellschaft: Leonberg, Amtsgericht Stuttgart, HRB 730101 UST-IDNr.: DE 265501645 http://www.kruegernetwork.de This email contains information which is confidential and may be privileged. Unless you are the intended addressee (or authorised to receive for the addressee) you may not use, forward, copy or disclose to anyone this email or any information contained in this email. If you have received this email in error, please advise the sender by reply email immediately and delete this email. Von: adde-ml@xxxxxxxxxxxxx<mailto:adde-ml@xxxxxxxxxxxxx> [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von Nils Kaczenski Gesendet: Donnerstag, 7. März 2013 17:42 An: adde@xxxxxxxxxxxxx<mailto:adde@xxxxxxxxxxxxx> Betreff: [adde] Re: Kerberos und Passwortänderung Moin, Liege ich richtig mit der Annahme, dass das Passwort eines Domänen-Benutzers nur bei der Anfrage nach einem TGT ins Spiel kommt (also bei der AS_REQ-Nachricht)? nein. Das Kennwort des Users wird nur lokal vom Winlogon-Prozess verarbeitet. Bei der Kommunikation mit dem DC wird nur der Hash übertragen. Der DC kennt das Kennwort nicht, nur den Hash. Danach hingegen, und das meinst du vermutlich, wird nur das Kerberos-Ticket übertragen. Eine kennwort- bzw. hashbasierende Anmeldung erfolgt nur gegenüber den Domänencontrollern. Das beschriebene Szenario habe ich allerdings nicht verstanden und kann daher nichts dazu sagen. Gruß, Nils -- MVP Windows Server: Directory Services www.kaczenski.de<http://www.kaczenski.de> Twitter: @Kaczenski www.faq-o-matic.net<http://www.faq-o-matic.net> http://about.me/Nils.Kaczenski MVP-Profil: https://mvp.support.microsoft.com/profile/Nils.Kaczenski