A: Das Kerberos-Authentifizierungsprotokoll verwendet Sitzungstickets, die mit einem symmetrischen Schlüssel verschlüsselt sind, der vom Kennwort des Servers oder Dienstes abgeleitet ist, auf den ein Windows-Benutzer Zugriff anfordert. Um ein Sitzungsticket anzufordern, muss der Benutzer dem Kerberos Key Distribution Center (KDC) -Dienst auf einem Domänencontroller (DC) ein spezielles Ticket vorlegen, das als Ticket Granting Ticket (TGT) bezeichnet wird. Alle Windows-Benutzer erhalten zu Beginn ihrer Windows-Anmeldesitzung eine TGT vom KDC, nachdem sie sich erfolgreich mit ihrem Kennwort beim KDC authentifiziert haben.
Das KDC verschlüsselt das TGT eines Benutzers mit einem Schlüssel, den es aus dem Kennwort des krbtgt AD-Domänenkontos ableitet. Das krbtgt-Konto und sein Kennwort werden von den KDC-Diensten aller DCs in einer Domäne gemeinsam genutzt. Das krbtgt-Konto wird automatisch als Teil des dcpromo-Anzeigeninstallationsprozesses auf dem ersten DC in einer Domäne erstellt. Es wird im Container Benutzer des Snap-ins Microsoft Management Console (MMC) Active Directory-Benutzer und -Computer angezeigt und ist standardmäßig deaktiviert. Im Gegensatz zu anderen AD-Benutzerkonten kann das krbtgt-Konto nicht verwendet werden, um sich interaktiv bei der Domäne anzumelden. Da es sich um ein integriertes Konto handelt, kann krbtgt auch nicht umbenannt werden.
Ein schreibgeschützter Domänencontroller (RODC) ist ein neuer DC-Typ, den Microsoft in Windows Server 2008 eingeführt hat. Ein RODC hostet schreibgeschützte Partitionen der AD-Datenbank. Es werden nicht die Kennworthashes aller Benutzerkonten in einer Windows-Domäne gespeichert; stattdessen speichert ein RODC nur die Kennworthashes der Konten, die in der Kennwortreplikationsrichtlinie (PRP) des RODC definiert sind. Diese Methode bedeutet, dass die Kompromittierung eines RODC ein viel geringeres Risiko darstellt als die Kompromittierung eines klassischen Lese- / Schreib-DC (RWDC), der Kopien der Passwort-Hashes aller Benutzerkonten in einer Domäne enthält. Aus diesem Grund kann ein RODC auf eine Weise bereitgestellt werden, die als weniger sicher angesehen werden kann. Organisationen stellen sie normalerweise in Zweigstellen oder in ihren demilitarisierten Zonen (DMZs) bereit.
Ein RODC fungiert als Kerberos-KDC für eine Zweigstelle oder DMZ und erfordert daher auch ein krbtgt-Konto. Um sicherzustellen, dass das krbtgt eines kompromittierten RODC nicht genutzt werden kann, um Tickets für andere RODCs oder RWDCs anzufordern, verfügt jeder RODC über ein spezielles lokales krbtgt-Konto. Dieses Konto hat das Format krbtgt123, wobei „123“ eine Folge von Zufallszahlen ist. Diese zufällige Zeichenfolge identifiziert den RODC eindeutig und wird generiert, wenn ein RODC installiert wird.
Die verschiedenen lokalen krbtgt-Konten der RODCs in einer Domäne werden in AD gespeichert und in Active Directory-Benutzern und -Computern unter dem Benutzercontainer angezeigt. Alle RWDCs in der Domäne speichern auch eine Kopie der Passwort-Hashes der krbtgt-Konten der RODCs in der Domäne. Daher ist ein von einem RODC ausgestelltes TGT gültig, um Sitzungstickets für denselben RODC und auch für jedes andere RWDC in der Domäne anzufordern.
Wenn ein RODC eine Sitzungsticketanforderung empfängt, die auf einem ungültigen TGT basiert – was bedeutet, dass das TGT nicht vom RODC selbst ausgestellt wurde -, wird ein Kerberos-Fehler zurückgegeben, der den Clientcomputer auffordert, eine neue TGT-Anforderung für den RODC selbst anzufordern. Wenn der RODC keine Kopie des Kennworthashs des Benutzers hat, leitet der RODC die TGT-Anforderung an einen RWDC weiter. In diesem Fall fungiert der RODC als Proxy, wobei er die Antwort vom RWDC direkt an den Clientcomputer weiterleitet. Gleichzeitig löst der RODC den Prozess des Zwischenspeicherns des Benutzerkennwort-Hashs aus, sodass der RODC in Zukunft ein TGT für diesen bestimmten Benutzer erstellen kann. Das Caching ist erfolgreich, wenn der PRP des RODC zulässt, dass der Passwort-Hash des Benutzerkontos auf dem RODC zwischengespeichert wird.
Related: Wie installiere und konfiguriere ich einen schreibgeschützten Domänencontroller (RODC)?
