Active Directory Migration

Passwortmigration ohne RC4-Verschlüsselung (Kerberos AES-only)

Wenn RC4 in Ihrer Active-Directory-Umgebung als Kerberos-Verschlüsselungstyp deaktiviert ist, kann die Migration von Kennwörtern bei einer Cross-Forest-Migration zur Herausforderung werden. Moderne Domänen erzwingen häufig Kerberos AES-only, wodurch eine Passwortmigration mehr abdecken muss als nur das Migrieren von reinen NT-Hashes (MD4).

Diese Artikelserie zeigt, wie Sie Kennwörter auch in modernen, AES-only-Kerberos-Umgebungen zuverlässig migrieren und synchronisieren. Wir starten mit dem einfachsten Setup: unidirektionale Passwortreplikation von einem Quell-Domain-Controller zu einem Ziel-Domain-Controller (keine Redundanz). Dies ist der einfachste Weg, um Konnektivität, Berechtigungen und den Workflow zu validieren, bevor Sie das Setup erweitern.

In den folgenden Teilen bauen wir auf dieser Basis auf und behandeln redundante Deployments, Two-Way-Passwortreplikation sowie fortgeschrittene Designs wie den Einsatz von Proxy-Domain-Controllern und Star-/Hub-Replikationstopologien für Enterprise-Umgebungen.

Inhaltsverzeichnis:

  1. Anforderungen / Voraussetzungen
  2. Self-Signed-Zertifikate erstellen (Quelle und Ziel)
  3. Passwortsynchronisation installieren und konfigurieren (One-Way)
  4. Setup testen
  5. Fazit

Anforderungen / Voraussetzungen

Bevor Sie starten, benötigen Sie eine funktionierende Quell- und Ziel-Active-Directory-Umgebung mit mindestens einem Domain Controller auf jeder Seite. In diesem ersten Teil halten wir das Setup bewusst minimal: Ein Quell-DC repliziert Passwortänderungen in eine Richtung zu einem Ziel-DC, ohne Redundanz. Dadurch können Sie schnell prüfen, ob Filter, Konnektivität und Verschlüsselung korrekt funktionieren, bevor Sie das Setup erweitern.

Für das Setup selbst müssen Sie lediglich das Password Synchronization Add-On auf beiden Domain Controllern installieren und über administrative Berechtigungen verfügen, um Installation und Konfiguration durchzuführen. Da Passwortänderungen über einen gesicherten Kanal übertragen werden, ist ein Zertifikat erforderlich – für diese Anleitung ist ein Self-Signed-Zertifikat vollkommen ausreichend.

Dieser Ansatz funktioniert sowohl in klassischen Umgebungen, in denen RC4 weiterhin erlaubt ist, als auch in gehärteten Umgebungen, in denen RC4 deaktiviert ist und ausschließlich Kerberos AES-Verschlüsselungstypen zugelassen sind.

Trial-Einschränkung: Die Trial-Version repliziert bis zu 10 Kennwortänderungen. Kontaktieren Sie uns unter support@sys-manage.com, um einen erweiterten Evaluierungsschlüssel zu erhalten. 

Self-Signed-Zertifikate erstellen (Quelle und Ziel)

Das Password Synchronization Add-On nutzt zertifikatsbasierte Verschlüsselung, um Passwortänderungsereignisse sicher zwischen Domain Controllern zu übertragen. Das Erstellen von Self-Signed-Zertifikaten ist nicht zwingend erforderlich, jedoch häufig der einfachste Einstieg und macht das Setup vollständig unabhängig.

Wenn bereits eine Microsoft Windows Certification Authority (CA) vorhanden ist und Group Policies entsprechend konfiguriert wurden, verfügen Ihre Domain Controller möglicherweise bereits über ein geeignetes Zertifikat, das von Windows automatisch erstellt und verteilt wurde. In diesem Fall können Sie das vorhandene DC-Zertifikat wiederverwenden, statt ein neues zu erstellen.

Für diese Anleitung erstellen wir ein Self-Signed-Zertifikat auf dem Quell-Domain-Controller und ein Self-Signed-Zertifikat auf dem Ziel-Domain-Controller. Beide Zertifikate werden später bei der Konfiguration gegenseitig „gepinnt“, sodass die Kommunikation abgesichert ist, ohne sich auf Windows Certificate Chain Trust verlassen zu müssen.

Damit die Zertifikate leicht erkennbar sind, empfiehlt es sich, den Computernamen (DNS-FQDN) als Zertifikats-Subject zu verwenden. Sie können das Self-Signed-Zertifikat unter Windows per PowerShell erstellen (kein OpenSSL erforderlich). Führen Sie die folgenden Befehle auf jedem Domain Controller aus:

$fqdn = "$env:COMPUTERNAME.$env:USERDNSDOMAIN"
$cert = New-SelfSignedCertificate -Subject "CN=$fqdn" -CertStoreLocation "Cert:\LocalMachine\My" -KeyAlgorithm RSA -KeyLength 2048 -HashAlgorithm SHA256 -NotAfter (Get-Date).AddYears(5)
Export-Certificate -Cert $cert -FilePath "C:\Temp\$fqdn.cer"

Öffentliches Zertifikat erstellen und exportieren (.cer).

Nach der Erstellung finden Sie das Zertifikat im lokalen Zertifikatsspeicher unter:

Certificates (Local Computer) > Personal > Certificates

Obwohl das Zertifikat später direkt über den Dialog Select certificate... ausgewählt werden kann, empfiehlt es sich dennoch, den Thumbprint des Zertifikats zu notieren. Das hilft, Verwechslungen zu vermeiden, wenn mehrere Zertifikate mit identischem Subject (zum Beispiel derselbe DNS-FQDN) im lokalen Zertifikatsspeicher vorhanden sind.

Passwortsynchronisation installieren und konfigurieren (One-Way)

In diesem ersten Teil konfigurieren wir eine einfache One-Way-Passwortsynchronisation vom Quell-Domain-Controller zum Ziel-Domain-Controller. Ziel ist es, Passwortänderungen aus der Quelldomäne in die Zieldomäne zu replizieren – ohne Redundanz und ohne Proxy-Server.

Schritt 1: Password Synchronization Add-On installieren

Installieren Sie das Password Synchronization Add-On auf dem Quell- und dem Ziel-Domain-Controller. Führen Sie das PwdSyncAddon.msi aus, das zur System-Bitness passt (64-bit oder 32-bit).

Wählen Sie während des Setups das Modul Password Filter Add-On zur Installation aus. Nach Abschluss der Installation wählen Sie nicht sofort den Neustart – wir schließen zuerst die Konfiguration auf beiden Systemen ab und starten anschließend neu.

Schritt 2: Quell-Domain-Controller konfigurieren (Sending)

Starten Sie auf dem Quell-Domain-Controller das Tool Password Filter Configuration.

Wechseln Sie auf der ersten Seite von Password hash migration (NT-Hash) zu Password synchronization (NT-Hash und zusätzliche Schlüssel wie AES).

Öffnen Sie anschließend den Reiter Synchronization Partners (Sending), um den Replikationspartner auf der Zielseite zu konfigurieren.

Da es sich um ein Minimal-Setup ohne Proxy-Server in der Quellumgebung handelt, deaktivieren Sie Allow incoming proxy connections.

Klicken Sie auf Add... und fügen Sie den Ziel-Domain-Controller hinzu (z. B. dc02.target.com). Außerdem müssen Authentifizierungsdaten angegeben werden. Das verwendete Konto benötigt ausreichende Berechtigungen im Ziel-Active-Directory, um Benutzerkennwörter für die synchronisierten Benutzer zu aktualisieren. Dies kann ein delegiertes Administratorkonto sein. Zusätzlich sind die entsprechenden Rechte erforderlich, um Benutzerobjekte im ausgewählten Ziel-OU/Container anzulegen, falls die Option zum automatischen Erstellen von Benutzern aktiviert ist. Der Einfachheit halber verwenden wir in diesem Beispiel das integrierte Administrator-Konto.

Empfehlung: Verwenden Sie in Produktionsumgebungen ein dediziertes Konto mit delegierten Berechtigungen.

Öffnen Sie nach dem Hinzufügen des Partners den Reiter Synchronization Encryption und klicken Sie auf Select certificate..., um das zuvor auf dem Quell-DC erstellte Self-Signed-Zertifikat auszuwählen.

Klicken Sie anschließend auf Import CA certificate und importieren Sie das Partnerzertifikat, das zuvor auf dem Ziel-Domain-Controller exportiert wurde (zum Beispiel dc02.target.com.cer aus C:\Temp). Dadurch wird Certificate Pinning aktiviert und der Quell-DC kommuniziert ausschließlich mit dem vorgesehenen Replikationspartner.

Klicken Sie auf OK, um die Änderungen zu übernehmen. Wenn ein Neustart angefordert wird, starten Sie den Quell-Domain-Controller neu, um den Passwortfilter zu aktivieren.

Schritt 3: Ziel-Domain-Controller konfigurieren (Receiving)

Nachdem der Quell-DC konfiguriert wurde, wiederholen Sie die Konfiguration auf dem Ziel-Domain-Controller.

Starten Sie das Tool Password Filter Configuration, aktivieren Sie Password Synchronization und wählen Sie anschließend die Option Receive password changes.

Öffnen Sie den Reiter Synchronization Encryption und klicken Sie auf Select certificate..., um das zuvor auf dem Ziel-DC erstellte Self-Signed-Zertifikat auszuwählen.

Klicken Sie auf Import CA certificate und importieren Sie das Partnerzertifikat, das zuvor auf dem Quell-Domain-Controller exportiert wurde (zum Beispiel dc01.source.com.cer aus C:\Temp). Damit ist das gegenseitige Certificate Pinning zwischen Quelle und Ziel abgeschlossen.

Klicken Sie auf OK und starten Sie den Ziel-Domain-Controller neu, wenn dies angefordert wird.

Setup testen

Nachdem beide Domain Controller konfiguriert und neu gestartet wurden, können Sie das Setup testen, indem Sie in der Quelldomäne ein Passwort ändern und anschließend prüfen, ob das neue Passwort in der Zieldomäne funktioniert.

Erstellen oder wählen Sie einen Testbenutzer, der in beiden Domänen existiert (oder im Zielcontainer automatisch angelegt wird). Ändern Sie anschließend das Benutzerpasswort auf dem Quell-Domain-Controller.

Sobald die Passwortänderung verarbeitet wurde, melden Sie sich in der Ziel-Domäne mit dem gleichen Benutzernamen und dem neuen Passwort an. Wenn die Anmeldung erfolgreich ist, funktioniert die One-Way-Passwortsynchronisation wie erwartet.

Zusätzlich können Sie die Benutzerinformationen auf der Zielseite mit dem integrierten net user-Befehl prüfen. Das kann hilfreich sein, um zu bestätigen, dass der Benutzer in der Zieldomäne vorhanden ist und der Kontostatus korrekt aussieht:

net user <User-SAMAccount-Name> /domain

Hinweis: Windows zeigt das tatsächliche Passwort nicht an, aber die Ausgabe liefert nützliche Informationen wie Zeitpunkt der letzten Passwortsetzung und den Kontostatus.

Wenn das Passwort nicht sofort funktioniert, warten Sie kurz und versuchen Sie es erneut. Passwortänderungsereignisse werden asynchron verarbeitet und können – abhängig von Netzwerkbedingungen und Systemlast – einige Sekunden benötigen.

Tipp: Falls Passwortänderungen temporär nicht zugestellt werden können (z. B. wegen Verbindungsproblemen oder Zertifikatsänderungen), können die Ereignisse gepuffert und später erneut verarbeitet werden, sobald die Verbindung wiederhergestellt ist.

Fazit

Sie haben nun eine einfache One-Way-Passwortsynchronisation von einem Quell-Domain-Controller zu einem Ziel-Domain-Controller eingerichtet. Dieses Setup eignet sich ideal für erste Tests und um zu validieren, dass Passwortänderungsereignisse sicher übertragen werden – auch in Umgebungen, in denen RC4 deaktiviert ist und ausschließlich Kerberos AES-Verschlüsselungstypen zugelassen sind.

In den nächsten Teilen dieser Serie bauen wir auf dieser Grundlage auf und zeigen, wie Sie Redundanz hinzufügen, Two-Way-Passwortreplikation konfigurieren und größere Synchronisationsumgebungen mit Proxy-Domain-Controllern sowie Star-/Hub-Replikationstopologien entwerfen.