Die Windows-Kerberos-Authentifizierung funktioniert nach den November-Updates nicht mehr

Quelle: microsoft.com

Microsoft untersucht ein neues bekanntes Problem, das dazu führt, dass bei Domänencontrollern in Unternehmen Kerberos-Anmeldefehler und andere Authentifizierungsprobleme auftreten, nachdem kumulative Updates installiert wurden, die während des Patch Tuesday in diesem Monat veröffentlicht wurden.

Kerberos hat das NTLM-Protokoll als Standard-Authentifizierungsprotokoll für mit der Domäne verbundene Geräte auf allen Windows-Versionen über Windows 2000 ersetzt.

Berichten zu folge, dass die November-Updates Kerberos "in Situationen, in denen Sie die Kontooptionen 'Dieses Konto unterstützt Kerberos AES 256-Bit-Verschlüsselung' oder 'Dieses Konto unterstützt Kerberos AES 128-Bit-Verschlüsselung' (d. h. das Attribut msDS-SupportedEncryptionTypes) auf Benutzerkonten in AD eingestellt haben, brechen".

Das bekannte Problem, das von Redmond aktiv untersucht wird, kann jedes Kerberos-Authentifizierungsszenario in betroffenen Unternehmensumgebungen betreffen.

"Nach der Installation von Updates, die am 8. November 2022 oder später auf Windows-Servern mit der Rolle Domänencontroller veröffentlicht wurden, kann es zu Problemen mit der Kerberos-Authentifizierung kommen", erklärte Microsoft.

Wenn dieses Problem auftritt, erhalten Sie möglicherweise ein Microsoft-Windows-Kerberos-Key-Distribution-Center-Ereignis mit der ID 14 im Abschnitt "System" des Ereignisprotokolls auf Ihrem Domänencontroller mit dem folgenden Text."

Fehler, die in den Systemereignisprotokollen auf den betroffenen Systemen protokolliert werden, werden mit dem Schlüsselsatz "Der fehlende Schlüssel hat eine ID von 1" gekennzeichnet.

"Während der Verarbeitung einer AS-Anforderung für den Zieldienst verfügte das Konto nicht über einen geeigneten Schlüssel für die Erstellung eines Kerberos-Tickets (der fehlende Schlüssel hat eine ID von 1)", heißt es in den protokollierten Fehlern [https://learn.microsoft.com/en-us/windows/release-health/status-windows-11-22h2#2953msgdesc].

Die Liste der Kerberos-Authentifizierungsszenarien umfasst unter anderem die folgenden:

  • Die Anmeldung von Domänenbenutzern kann fehlschlagen. Dies kann auch die Authentifizierung über Active Directory Federation Services (AD FS) betreffen.
  • Die Authentifizierung von Group Managed Service Accounts (gMSA), die für Dienste wie Internet Information Services (IIS Web Server) verwendet werden, kann fehlschlagen.
  • Remote-Desktop-Verbindungen, die Domänenbenutzer verwenden, können möglicherweise nicht hergestellt werden.
  • Sie können möglicherweise nicht auf freigegebene Ordner auf Workstations und Dateifreigaben auf Servern zugreifen.
  • Drucken, das die Authentifizierung eines Domänenbenutzers erfordert, schlägt möglicherweise fehl.

Betroffen sind sowohl Client- als auch Server-Plattformen

Die vollständige Liste der betroffenen Plattformen umfasst sowohl Client- als auch Serverversionen:

  • Client: Windows 7 SP1, Windows 8.1, Windows 10 Enterprise LTSC 2019, Windows 10 Enterprise LTSC 2016, Windows 10 Enterprise 2015 LTSB, Windows 10 20H2 oder höher, und Windows 11 21H2 oder höher
  • Server: Windows Server 2008 SP2 oder höher, einschließlich der neuesten Version, Windows Server 2022.

Obwohl Microsoft mit dem November-Patchdienstag 2022 damit begonnen hat, die Sicherheitshärtung für Netlogon und Kerberos zu erzwingen, sagt das Unternehmen, dass dieses bekannte Problem kein erwartetes Ergebnis ist.

Das Problem wirkt sich nicht auf Geräte aus, die von Privatkunden verwendet werden oder die nicht in einer lokalen Domäne angemeldet sind. Es betrifft auch keine Azure Active Directory-Umgebungen von Mutterunternehmen und solche, die keine lokalen Active Directory-Server haben.

Microsoft arbeitet an einem Fix für dieses bekannte Problem und schätzt, dass eine Lösung in den kommenden Wochen verfügbar sein wird.


Aktualisierung

Die von MSFT empfohlene Lösung besteht derzeit darin, die folgenden Registrierungsschlüssel zu Ihrem dcs hinzuzufügen. Wir haben sie hinzugefügt und unsere Probleme damit behoben, hoffentlich funktioniert es auch bei Ihnen.

Von einem Reddit Thread:

reg add "HKLM\SYSTEM\CurrentControlSet\services\kdc" /v KrbtgtFullPacSignature /t REG_DWORD /d 0 /f

reg add "HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters" /v RequireSeal /t REG_DWORD /d 0 /f

reg add "HKLM\SYSTEM\CurrentControlSet\services\kdc" /v ApplyDefaultDomainPolicy /t REG_DWORD /d 0 /f

Bearbeiten: Der dritte Registrierungsschlüssel war es, der uns letztendlich geholfen hat, nachdem wir uns einen kdc-Trace des Domänencontrollers angesehen hatten.


0 Comments: