KDC_ERR_PREAUTH_REQUIRED
Was bedeutet diese Fehlermeldung „KDC_ERR_PREAUTH_REQUIRED“?
Der KDC erwartet grundsätzlich das sich alle Konten vorauthentifizieren (Pre-Authentication oder Präauthentifizierung).
*Der Authentifizierungsserver setzt die Pre-Authentication ein, um sicherzustellen, dass der Principal (Benutzer oder System) der ist für den er sich ausgibt. Außerdem soll damit der Verschlüsselungstyp ausgelotet werden.
(Warum soll der AS die Tür öffnen, wenn sich jemand mit der Klingel vertan hat) 😉
Dieser Mechanismus dient als Schutz vor böswilligen Angreifern, wobei im Verlauf (AS-Request) der Zeitstempel mit dem Benutzer-Password-Hash (LTK) verschlüsselt wird. Der KDC empfängt den Request, entschlüsselt diesen mit Benutzer-Password-Hash, und prüft daraufhin zuerst den Zeitstempel. Ist der Zeitstempel valide verarbeitet er den aktuellen Request mit weiteren Prüfmechanismen (Authenticator/Replay-Attacken) und sendet erst jetzt das TGT.
(Erst gucken wer da ist, bevor man auf macht)
Im Active Directory ist diese Option auch standardmäßig auf allen Konten aktiviert, so dass eine Pre-Authentication stattfinden könnte/sollte.
Wenn auf der einen Seite etwas erwartet wird und auf der anderen Seite nicht geliefert wird/werden kann, so löst diese Aktion ein Event-ID 3 “KDC_ERR_PREAUTH_REQUIRED” 0x19 aus.
Bei Problemen kann sollte aber bitte nicht, die Pre-Authentication deaktiviert werden. Das erhöht zwar zum einen die Kompatibilität für diverse Authentifizierungsvorgänge (DES/3DES/AES) aber es wird auch kein Event mehr dazu geschrieben.
*Die Pre-Authentication läuft zwischen Schritt 1 und 2 des Diagramms.
https://www.der-windows-papst.de/2017/07/23/erweiterte-sicherheit-beim-anmeldeprozess-security-advisory-2871997/