Windows 10/Windows Server: Update KB4586781 macht Probleme mit Kerberos DC-Authentifizierung

[English]Kurze Information für Administratoren in Windows 10-Umgebungen (Version 2004 und 20H2), wo bereits Windows Server 2004/20H2 zum Einsatz kommt. Update KB4586781 vom 10. November 2020 verursacht in ganz speziellen Umgebungen mit gemischten Server-Versionen Probleme mit der Kerberos-Authentifizierung auf Domain Controllern (DC).


Anzeige

Blog-Leser Alitai hat bereits am Sonntag Abend in den Kommentaren auf das Problem hingewiesen – ich hatte die Nacht aber keinen Nerv, das schon in den Blog einzustellen.

Update KB4586781 für Windows 10/Windows Server

Update KB4586781 wurde am 10. November 2020 für Windows 10, Version 200, und Version 20H2 sowie für Windows Server, Version 2004 und 20H2 freigegeben. Das Update behebt eine Reihe an Problemen, auch am Windows-Kernel (siehe auch Patchday: Windows 10-Updates (10. November 2020)).

Probleme mit Kerberos DC-Authentifizierung

In den Statusinformationen von Windows 10, version 20H2 and Windows Server, version 20H2 weist Microsoft in diesem Abschnitt darauf hin, dass man ein Problem mit der Kerberos-Authentifizierung auf Domain Controllern (DC) untersucht, welches durch das Update KB4586781 vom 10. November 2020 hervorgerufen wird. Zur Fehlerbeschreibung heißt es:

Nach der Installation von KB4586781 auf Domänencontrollern (DCs) und schreibgeschützten Domänencontrollern (RODCs) in Ihrer Umgebung können Probleme mit der Kerberos-Authentifizierung auftreten.

Hervorgerufen wird dies durch den Patch für die Schwachstelle CVE-2020-17049 (im Netzwerk-Stack) in Update KB4586781. In der Beschreibung von CVE-2020-17049 gibt es drei Registrierungseinstellungswerte für PerformTicketSignature, um diese Ticket-Signatur zu steuern. In der aktuellen Implementierung könnten nach Installation des Update KB4586781 bei jeder Einstellung andere Probleme auftreten:


Anzeige

  • Wert 0: Es kann bei der Verwendung von S4U-Szenarien, wie geplante Aufgaben (Scheduled Tasks), Clustering und Services, z. B. Spartenanwendungen (Line-of-Business-Anwendungen), zu Authentifizierungsproblemen kommen.
  • Wert 1: Der Standardwert 1 kann bei Nicht-Windows-Clients, die sich bei Windows-Domänen mit Kerberos authentifizieren, zu Authentifizierungsproblemen führen.
  • Wert 2: Der Wert ist für den Durchsetzungsmodus gedacht und führt zu Problemen in einer Umgebung, in der nicht alle DCs aktualisiert werden, da bestimmte Arten von nicht konformen Kerberos-Tickets explizit abgelehnt werden. Der Wert sollte aktuell auch nicht verwendet werden, wenn die Umgebung DCs mit Windows Server 2008 R2 SP1 oder Windows Server 2008 SP2 enthält.

Bezüglich des Werts 1 schreibt Microsoft, dass der Versuch eines Clients, ein Kerberos-Ticket zu erneuern, scheitert, wenn auf dem Domain Controller (DC) Update KB4586781 installiert ist der ausstellende DC nicht auf die Änderung vorbereitet ist. Das trifft zu, wenn das Kerberos-Ticket von einem DC ausgestellt wurde, der den Patch vom 10.11.2020 noch nicht enthält. Die Erneuerung scheitert aber auch, wenn das Kerberos-Ticket von einem DC mit Windows Server 2008 R2 SP1 oder Windows Server 2008 SP2 ausgestellt wurde.

Ein Wechsel des Registrierungswerts von 0 auf 1 kann ebenfalls zu diesem Problem führen, da es ausstehende Kerberos-Tickets geben kann, die als verlängerbar gekennzeichnet sind, aber von aktualisierten DCs nicht verlängert werden.

Bei der Standardeinstellung von 1 kann es auch zu bereichsübergreifenden Verweisungsfehlern auf Windows- und Nicht-Windows-Geräten für Kerberos-Verweisungstickets kommen, die durch Domänen-DCs laufen, die kein am 11. November 2020 veröffentlichtes Update oder ein DC mit Windows Server 2008 R2 SP1 oder Windows Server 2008 SP2 installiert haben. Dieses Problem kann auftreten, wenn die Domänenumgebung teilweise aktualisiert ist oder mindestens einen Windows Server 2008 R2 SP1 oder Windows Server 2008 SP2 enthält.

Das Ganze betrifft nur Windows Server und Windows 10-Systeme samt Anwendungen in Unternehmensumgebungen, wenn folgende Server-Varianten vorhanden und das Update KB4586781 auf einem DC installiert ist.

Server: Windows Server, Version 20H2; Windows Server, Version 2004; Windows Server, Version 1909; Windows Server, Version 1903; Windows Server, Version 1809; Windows Server 2019; Windows Server 2016; Windows Server 2012 R2; Windows Server 2012

Meine Einschätzung ist, dass wohl recht wenige Umgebungen existieren, wo bereits Windows Server 2004 oder 20H2 als Domain-Controller läuft (mag mich aber täuschen). Aktuell untersucht Microsoft dieses Problem und will baldmöglichst ein Update bereitstellen. Irgend jemand von euch betroffen?


Anzeige

Dieser Beitrag wurde unter Windows 10, Windows Server abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Windows 10/Windows Server: Update KB4586781 macht Probleme mit Kerberos DC-Authentifizierung

    • JohnRipper sagt:

      Habe Meldungen bekommen wie die "Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden"
      Eigentlich ein Problem das in die Welt von Windows 7 gehört, aber habe jetzt auf ein paar Maschinen das Problem zurück.

      Noch jemand?

  1. Dieses Update sorgte bei uns bei einem Fehlschlag ("Domäne aus nicht vertrauenswürdiger Domäne") beim Versuch einer SQL-Server-Verbindung über NT-Authentifizierung über zwei Windows 10 Pro Systeme.
    Interessanterweise ohne Einsatz einer Domäne!

  2. Raphael Groner sagt:

    Hallo CL, laut Ihrem Link also nur 2008? Das ist doch im extended support?

  3. Jürgen sagt:

    Hallo,
    hat jemand von euch folgenden Patch schon installiert? Gibts Beobachtungen dazu?

    https://support.microsoft.com/en-us/help/4594439/kerberos-authentication-and-ticket-renewal-issues

    Leider gibts den Out-Of-Band Patch erst für 2012 und 2012 R2.

    Beste Grüße!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.