Kerberos zeigt 2 TGT Tickets an

Question

Wieso werden auf einem Windows 11 Client 2 Kerberos Ticket granting Tickets angezeigt?

#0>     Client: xxxxx @ D2000.LOCAL
        Server: krbtgt/D2000.LOCAL @ D2000.LOCAL
        KerbTicket (Verschlüsselungstyp): RSADSI RC4-HMAC(NT)
        Ticketkennzeichen 0x60a10000 -> forwardable forwarded renewable pre_authent name_canonicalize
        Startzeit: 12/17/2025 15:29:56 (lokal)
        Endzeit:   12/17/2025 23:53:22 (lokal)
        Erneuerungszeit: 2/15/2026 13:53:22 (lokal)
        Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96
        Cachekennzeichen: 0x2 -> DELEGATION
        KDC aufgerufen: vie-srv-dc02.d2000.local

#1>     Client: xxxxx @ D2000.LOCAL
        Server: krbtgt/D2000.LOCAL @ D2000.LOCAL
        KerbTicket (Verschlüsselungstyp): RSADSI RC4-HMAC(NT)
        Ticketkennzeichen 0x40e10000 -> forwardable renewable initial pre_authent name_canonicalize
        Startzeit: 12/17/2025 13:53:22 (lokal)
        Endzeit:   12/17/2025 23:53:22 (lokal)
        Erneuerungszeit: 2/15/2026 13:53:22 (lokal)
        Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96
        Cachekennzeichen: 0x1 -> PRIMARY
        KDC aufgerufen: vie-srv-dc02.d2000.local

Answer 1

Das sind 2 unterschiedliche Kerberos Tickets. Das untere Ticket (#1) ist das "normale" Ticket des User beim Anmelden an Active Directory. Das erkennt man u.a an

• Cachekennzeichen: 0x1 = Primary
• Ticketkennzeichen: initial

Das andere Ticket (#0) ist ein delegiertes/weitergeleitetes Ticket. Erkennbar an

• Cachekennzeichen: 0x2 = Delegation
• Ticketkennzeichen: forwarded

Das bedeutet dass Windows zusätzlich ein TGT für Delegation im Cache hat. Das kann z. B. durch RDP, Remoteverwaltung, WinRM, Dienste mit Kerberos-Delegation oder ähnliche Szenarien entstehen, bei denen Anmeldeinformationen weitergereicht werden dürfen.