[English]Microsoft rollt seit dem 17. November 2020 Sonderupdates für diverse Windows Server-Versionen aus. Diese sollen die Probleme mit der Kerberos-Authentifizierung von Ticket-Erneuerungen auf Domain Controllern beheben.
Anzeige
Das Kerberos-Authentication-Problem
Das November 2020 Update KB4586781 für Windows Server, Version 2004 und 20H2 behebt eine Reihe an Problemen (siehe auch Patchday: Windows 10-Updates (10. November 2020)). In bestimmten Konstellationen gab es anschließend allerdings Probleme mit der Kerberos-Authentifizierung an Domain Controllern, wenn das Update unter Windows Server, Version 2004 und 20H2 installiert wurde, aber Tickets von Windows Servern ohne dieses Update ausgestellt wurden. Ich hatte das im Blog-Beitrag Windows 10/Windows Server: Update KB4586781 macht Probleme mit Kerberos DC-Authentifizierung thematisiert, nachdem Microsoft einen entsprechenden Hinweis auf der Windows Statusseite gepostet hatte. Microsoft hatte baldmöglichst Abhilfe versprochen.
Microsoft gibt Sonderupdates mit Fix frei
Microsoft rollt seit dem 17. November 2020 Sonderupdates für diverse Windows Server-Versionen aus. Ich hatte bereits im Blog-Beitrag Windows Server 2012/R2: Sonderpatch für Kerberos-Authentication-Problem auf das erste Update hingewiesen. Hier ist jetzt die Liste der Updates für verschiedene Windows-Versionen.
- KB4594442 für Windows Server Version 1809 und Windows Server 2019
- KB4594439 für Windows Server 2012 R2
- KB4594438 für Windows Server 2012
Die obigen Updates beheben Probleme mit der Kerberos-Authentifizierung im Zusammenhang mit dem Wert des Registrierungsunterschlüssels PerformTicketSignature in CVE-2020-17049. Die Probleme hängen mit den Windows-Updates vom 10. November 2020 zusammen. Laut den jeweiligen Supportbeiträgen soll das Sonderupdate folgende Probleme beheben:
- Kerberos service tickets and ticket-granting tickets (TGT) might not renew for non-Windows Kerberos clients when PerformTicketSignature is set to 1 (the default).
- Service for User (S4U) scenarios, such as scheduled tasks, clustering, and services for line-of-business applications, might fail for all clients when PerformTicketSignature is set to 0.
- S4UProxy delegation fails during ticket referral in cross-domain scenarios if DCs in intermediate domains are inconsistently updated and PerformTicketSignature is set to 1.
Die Updates sind im Microsoft Update Catalog erhältlich (nach der KB-Nummer suchen lassen). Microsoft empfiehlt die Installation des letzten Servicing Stack Update (SSU) gemäß ADV990001, bevor der Patch installiert wird. Probleme sind bisher nicht bekannt. Details sind den jeweiligen Supportbeiträgen zu entnehmen.
Anzeige
Ergänzung: Es liegen weitere Updates vor, siehe Weitere Windows-Updates mit Fix für Kerberos-Authentication-Problem (19.11.2020).
Ähnliche Artikel:
Patchday: Windows 10-Updates (10. November 2020)
Windows 10/Windows Server: Update KB4586781 macht Probleme mit Kerberos DC-Authentifizierung
Windows Server 2012/R2: Sonderpatch für Kerberos-Authentication-Problem
Anzeige
und das installiert man jetzt nur auf domain controllern und dann betet man oder sollt es überall rauf?
Imho muss das auf die Server drauf, die die Kerberos-Tickets ausstellen – mag mich aber täuschen.
Wichtig: Das Problem tritt ja nur auf, wenn ein Windows Server 2004/20H2 als DC läuft und das November 2020-Sicherheitsupdate erhalten hat. Wenn Du diese Konstellation also nicht fährst, sollte das Kerberos-Ticket refresh funktionieren und Du brauchst auch die Updates nicht manuell zu installieren.
Woher stammt die Info, dass es nur auftritt, wenn 2004/20H2 als DC laufe? Diese Info konnte ich in keinem "offiziellen" Dokument bisher finden – oder habe es überlesen. Stattdessen finde ich immer nur "DCs and Read-Only DCs" oder ähnliches, ohne Einschränkung.
Und zur Sicherheit: wenn sich noch ein 2008er DC irgendwo in einer Testumgebung befinden sollte: nicht einspielen, oder? Auch nicht auf den anderen?
After installing KB4586781 on domain controllers (DCs) and read-only domain controllers (RODCs) in your environment, you might encounter Kerberos authentication issues.
Quelle
After installing KB4586786 on domain controllers (DCs) and read-only domain controllers (RODCs) in your environment, you might encounter Kerberos authentication issues.
https://web.archive.org/web/20210207085323/https://docs.microsoft.com/en-us/windows/release-information/status-windows-10-1909
After installing KB4586793 on domain controllers (DCs) and read-only domain controllers (RODCs) in your environment, you might encounter Kerberos authentication issues.
https://docs.microsoft.com/en-us/windows/release-information/status-windows-10-1809-and-windows-server-2019#1522msgdesc
in dem Link wird tatsächlich auf den KB4586781 und damit auf Server 2004/20H2 verwiesen.
Allerdings steht dasselbe auch in den "known issues" von kb4586793 für Server 2019, kb4586830 für Server 2016 und kb4586823 für Server 2012R2
Zudem wird in der Quelle folgendes vermerkt:
"Affected platforms:
Server: Windows Server, version 20H2; Windows Server, version 2004; Windows Server, version 1909; Windows Server, version 1903; Windows Server, version 1809; Windows Server 2019; Windows Server 2016; Windows Server 2012 R2; Windows Server 2012" – ob das allerdings nur Client-Server sind, die damit nur indirekt betroffen wären finde ich nirgends.
Wo ist denn der Widerspruch? In Kurz: Auf WS 2004/20H2 als DC wird das Update installiert. Fordern andere Maschinen ein Kerberos Authentification Ticket renewal an, welches von einem andere Server geliefert wird, schlägt diese Anforderung fehl. Die Update sorgen dafür, dass dieses Renewal wieder von den gepatchten Servern klappt. So mein Verständnis – aber ich habe keinerlei Aktien in dem Zeugs. Kann mich also täuschen.
wir haben nur server mit gui und long term service im einsatz. also 2012r2, 2016 und 2019.
aber bei genau denen steht dann bspw für 2012r2, den wir als domain controller im einsatz haben, unter https://support.microsoft.com/en-us/help/4586808
After installing this update on domain controllers (DCs) and read-only domain controllers (RODCs) in your environment, you might encounter Kerberos authentication and ticket renewal issues. This is caused by an issue in how CVE-2020-17049 was addressed in these updates.
For specific symptoms and behaviors related to this issue, please see the Windows release health page.
Note This issue only affects Windows Servers, Windows 10 devices and applications in enterprise environments. This issue is resolved in KB4594438.
deute ich so, dass wenn auf den dcs kb4586808 installiert wurde, können win 10 clients probleme mit kerberos haben. KB4594438 würde das wieder beheben. also KB4594438 nur auf DCs.
nachdem wir aber bisher keine kerberos probleme haben, lass ich erstmal alles so wie es ist.
Den letzten Satz würde ich unterstreichen.
Wir hatten massive Probleme nach ausbringen der Updates. Die Kerberos Authentifizierung an Oracle Applikationen war nicht mehr möglich bzw. das Ticket wurde nicht erneuert. Ein 'klist purge' half nur kurzzeitig.
Auch der Out-of-band patch mit Registry-Key = 1 brachte keine Änderung. Wir haben diverse Win2012R2 DCs und zwei Win2016 DCs. Für letzteres gibt es noch keinen Fix.
Wir haben jetzt das 2020-11 Update auf allen DCs wieder deinstalliert und das Problem ist erstmal weg. Der Fallback funktioniert also.
Gibt es ähnliche Erfahrungen?
Leider sind noch keine Artikel bekannt, um ein Troubleshooting durchzuführen. Uns stellt sich aktuell die Frage, ob parallel auch alle Clients das 2020-11 Update erhalten müssen?
@PW: FYI – Erstkommentare laufen hier zur SPAM-Abwehr in die Moderation. Ich habe den Dreifach-Post gelöscht und nur eine Version belassen. Siehe Kommentieren im Blog
@PW: Auch bei uns gab es nach dem 2020-11 Update dieses Problem mit Kerb-Auth und Oracle Apps. Der Out-of-band-Patch half auch hier nicht.
Habt ihr inzwischen eine Lösung finden können ohne den Patch zu deinstallieren? Die Deinstallation kann ja nur ein vorübergehender Workaround sein.
@Summi
Leider nein. Bisher haben wir noch keine neuen Erkenntnisse. Wenn es bei dir ebenfalls Probleme mit Oracle gibt, wäre dies ein Ansatz. Vielleicht findet man zwischenzeitlich etwas bei Oracle.
Gibt es bei dir neue Infos?
Nein, leider noch nicht. Case bei Oracle ist offen, aber ich bezweifele, dass dabei was rauskommt.
Ich finde leider auch keine anderen Beiträge mit diesem Problem speziell auf Oracle bezogen im Internet.
Kommt Zeit, kommt Rat… Ich poste hier, wenn sich was ergibt.
Hallo Summi,
gibt es von deiner Seite etwas neues dazu?
Danke & Grüße