[English]Microsoft hat zum 14. November 2021 außerplanmäßige, sogenannte Out-of-Band Updates für diverse Versionen von Windows 10 und Windows Server 2016 / 2019 sowie Windows Server 2012 R2 und Windows Server 2008 R2 veröffentlicht. Diese sollen die mit den November 2021 Patchday-Updates aufgetretenen Authentifizierungsfehler bei Domain-Controllern beheben. Hier einige Informationen dazu.
Anzeige
DC-Authentifizierungsfehler nach November-Update
Mit den Sicherheitsupdates vom 9. November 2021 kommt es zu einem Problem in Netzwerkumgebungen. Denn die Windows-Clients können sich u.U. nicht mehr gegen ihren Domain Controller authentifizieren. Die Authentifizierungsprobleme treten bei bestimmten Kerberos-Delegation-Szenarios am Domain Controller (DCs) auf. Ich hatte diesen Sachverhalt im Blog-Beitrag November 2021 Patchday-Probleme: WSUS, DC, Events frühzeitig, auf Grund von Leserkommentaren, angesprochen. Und Microsoft hatte das Ganze dann auch bestätigt. Zu diesem Blog-Beitrag gibt es nun diverse Leserkommentare (danke dafür), die auf die Out-of-Band Updates zur Korrektur des Problems hinweisen.
Sonderupdates für Windows 10/Windows Server 2016/2019
In diversen Leserkommentaren (danke dafür) zum Blog-Beitrag wird nun auf die Out-of-Band Updates zur Korrektur des Problems hingewiesen.
Update KB5008601 für Windows 10 V1607/Server 2016
Das Update KB5008601 steht für Windows 10 Version 1607 sowie für Windows Server 2016 zur Verfügung und hebt die OS-Build auf 14393.4771. Microsoft gibt folgende Korrektur an, die durch das Update ausgeführt wird.
Behebt ein bekanntes Problem, das zu Authentifizierungsfehlern im Zusammenhang mit Kerberos-Tickets führen kann, die Sie von Service for User to Self (S4U2self) erworben haben. Dieses Problem tritt auf, nachdem Sie die Sicherheitsupdates vom 9. November 2021 auf Domänencontrollern (DC) installiert haben, auf denen Windows Server ausgeführt wird.
Dieses Update muss manuell aus dem Microsoft Update Catalog heruntergeladen und installiert werden. Für mit WSUS verwaltete Systeme muss das Out-of-Band-Update manuell aus dem Download importiert werden. Für das Update weist Microsoft darauf hin, dass dieses die auf Clients auftretenden Druckerfehler:
Anzeige
- 0x000006e4 (RPC_S_CANNOT_SUPPORT)
- 0x0000007c (ERROR_INVALID_LEVEL)
- 0x00000709 (ERROR_INVALID_PRINTER_NAME)
nicht behebt. Zu den Druckerfehlern hat Microsoft Healt-Status-Dashboard was geschrieben und Workarounds genannt. Zudem hatte ich im Blog-Beitrag Windows PrintNightmare-Druckprobleme: Server verliert Einstellungen, Fehler beim Drucken (11. Nov. 2021) Hinweise gegeben. Mir ist aktuell unklar, ob die dort angegebene KIR-Lösung für den Fehler 0x0000007c (ERROR_INVALID_LEVEL) noch funktioniert.
Update KB5008602 für Windows 10 V1909/Server 2019
Das Update KB5008601 steht für Windows 10 Enterprise 2019 LTSC, Windows 10 IoT Enterprise 2019 LTSC, Windows 10 IoT Core 2019 LTSC und Windows Server 2019 zur Verfügung. Es hebt die OS-Build auf 17763.2305. Microsoft gibt folgende Korrektur an, die durch das Update ausgeführt wird.
Behebt ein bekanntes Problem, das zu Authentifizierungsfehlern im Zusammenhang mit Kerberos-Tickets führen kann, die Sie von Service for User to Self (S4U2self) erworben haben. Dieses Problem tritt auf, nachdem Sie die Sicherheitsupdates vom 9. November 2021 auf Domänencontrollern (DC) installiert haben, auf denen Windows Server ausgeführt wird.
Gleichzeitigt nimmt das Update Verbesserungen am Servicing-Stack Update vor und hebt dieses auf die Build 17763.2262. Update KB5008602 muss manuell aus dem Microsoft Update Catalog heruntergeladen und installiert werden. Für mit WSUS verwaltete Systeme muss das Out-of-Band-Update manuell aus dem Download importiert werden. Für das Update weist Microsoft im Supportbeitrag KB5008601 mehrere bekannte Problem aus.
Update KB5008603 für Windows Server 2012 R2
Das Update KB5008603 steht Windows Server 2012 R2 bereit und behebt das bekannte Problem, das zu Authentifizierungsfehlern im Zusammenhang mit Kerberos-Tickets führen kann, die Sie von Service for User zu Self (S4U2 self) erworben haben. Dieses Problem tritt auf, nachdem Sie die Sicherheitsupdates vom 9. November 2021 auf Domänencontrollern (DC) installiert haben, die auf Windows Server ausgeführt werden. Microsoft sind keine Probleme mit dem Update bekannt. Dieses muss aber manuell aus dem Microsoft Update Catalog heruntergeladen und installiert werden. Für mit WSUS verwaltete Systeme ist das Out-of-Band-Update manuell aus dem Download zu importieren.
Update KB5008605 für Windows Server 2008 R2
Das Update KB5008605 steht Windows Server 2008 R2 bereit und behebt das bekannte Problem, das zu Authentifizierungsfehlern im Zusammenhang mit Kerberos-Tickets führen kann, die Sie von Service for User zu Self (S4U2 self) erworben haben. Dieses Problem tritt auf, nachdem Sie die Sicherheitsupdates vom 9. November 2021 auf Domänencontrollern (DC) installiert haben, die auf Windows Server ausgeführt werden. Microsoft sind keine Probleme mit dem Update bekannt. Dieses muss aber manuell aus dem Microsoft Update Catalog heruntergeladen und installiert werden. Für mit WSUS verwaltete Systeme ist das Out-of-Band-Update manuell aus dem Download zu importieren.
Ergänzung: Seit Mitte Dezember 2021 warnt Microsoft vor einer Ausnutzung der Schwachstellen und empfiehlt das Patchen der Domain Controller-Maschinen – siehe Microsoft-Warnung vor Active Directory Domain-Übernahme wegen nicht gepatchter Schwachstellen
Ähnliche Artikel:
November 2021 Patchday-Probleme: WSUS, DC, Events
Patchday: Windows 10-Updates (9. November 2021)
Windows PrintNightmare-Druckprobleme: Server verliert Einstellungen, Fehler beim Drucken (11. Nov. 2021)
Anzeige
Das Update KB5008602 ist für Windows 10 v1809, nicht für Windows 10 v1909.
Für letzteres gibt es laut https://support.microsoft.com/de-de/topic/windows-10-updateverlauf-53c270dc-954f-41f7-7ced-488578904dfe Stand jetzt noch kein Update. Ist diese Version überhaupt von dem Problem betroffen? Alle Versionen ab v1903 haben zum 14.11. kein neues Update erhalten.
Das Problem betrifft Domain-Controller -> also Server!
Ist das Problem nicht auf den DCs aufgetreten und muss der Fix somit nur auf Servern installiert werden?
Die Frage kann ich mir nun selbst beantworten, Windows 10 Versionen scheinen nicht betroffen zu sein:
"Affected platforms:
Server: Windows Server 2019; Windows Server 2016; Windows Server 2012 R2; Windows Server 2012; Windows Server 2008 R2 SP1; Windows Server 2008 SP2"
Ja, DC Sache…
Es gibt/gab aber auch Windows Server 1903 und 1909, diese unsäglichen Teile ohne GUI ;-)
Dieses WE wurden die kummulativen Updates auf unsere Server (VM Ware) verteilt, bei 2 Server hatte ich heute das Problem das sie zwar laut Netzwerkkarte im Domänennetzwerk waren, aber die Windowsfirewall war überzeugt das sie sich im Öffentlichen Netzwerk befindet und entsprechend waren alle Ports und Dienste dicht.
Einmal im vSphere die Netzwerkkarte de- und wieder aktiviert und die Firewall hat sich auf der korrekte Profil umgestellt.
Klingt ja köstlich :-(
Das ist kein neues Problem und hat nichts mit den hier behandelten Patches zu tun. Das gibt es schon seit Jahren.
NLA-Dienst neustarten hilft da und es hilft auch, den Start vom NLA-Dienst zu verzögern.
Zitat "Das gibt es schon seit Jahren."
Unter welchem Zusammenhang tritt das genau auf? Mir ist das nicht direkt bekannt und wir haben eine doch einigermaßen große Umgebung.
Nur bei VMWare, generell bei virtuellen Maschinen jegl. Hersteller oder auch bei Bare-Metal- Installationen?
Hat mit der Plattform nichts zu tun. Kommt auf allen Plattformen (BM, Hyper-V, VMWare) vor.
Der Neustart des NLA (network location awareness) Dienstes behebt den Unfug. Netzwerkkarte deaktivieren muss man natürlich auch erstmal können, bei entfernten BM-Kisten fällt das weg.
Ich vermute, dass das ein Timing-Problem ist, der Dienst startet zu früh, um das Netzwerk korrekt zu klassifizieren. Google wird Dir zu dem Thema reichlich hits liefern.
Ja ich kenne das Problem schon von früher aber das die Netzwerkkarte das Richtige Profil wählt aber die Firewall auf Öffentlich umstellt, das Verhalten ist mir neu.
Solche Authentifizierungsprobleme habe ich seit Jahren an DCs nach deren Neustarts (hauptsächlich Windows Server 2012R2). Bis jetzt hat immer geholfen nach der Anmeldung kurz die Netzwerkkarte zu de- und wieder aktivieren.
Bisher konnte ich dazu keine Lösung finden.
Danke für die Info… – wenigstens hat MS sich hier nicht Zeit gelassen.
Gibt es erste Erfahrungsberichte?
Beheben die Sonder-Updates die Kerberos-Probleme? Tauchen neue Probleme auf?
Mindestens hier in der Testumgebung keinerlei Probleme mit/auf den DCs.
Ob es überhaupt zu Problemen gekommen wäre kann ich in der Testumgebung nicht sagen, hab gleich das OOB-Update auf den DCs installiert.
Jetzt mal Butter bei die Fische, welche Server sollten denn nun die OOB-Updates erhalten anstelle der Updates vom regulären Patch-Tuesday? Wirklich nur die Domain Controller?
anstelle der updates hab ich es nicht gemacht. ich hab die nov updates installiert und dann noch mal diesen patch drüber und zwar nur auf den domain controllern
Butter bei die Fische: Ein klitzekleines bissgen binäre Logik.
– Du bist mit regulären Windows Servern von Authentifizierungsproblemen betroffen?
Ja: Du installierst versuchsweise das betreffende Sonderupdate
Nein: Warum solltest Du das betreffende Sonderupdate installieren?
– Du bist mit deinen Windows Server DCs von Authentifizierungsproblemen betroffen?
Ja: Du installierst versuchsweise das betreffende Sonderupdate
Nein: Warum solltest Du das betreffende Sonderupdate installieren? Ein Install wäre präventiv denkbar, wenn das beschriebene Kereberos-Ticket-Szenario relevant ist.
Lebbe kann so einfach sein. Oder liege ich jetzt mit meiner Simple-Lösung so weit daneben und habe dein Problem nicht verstanden?
"Ein Install wäre präventiv denkbar, wenn das beschriebene Kereberos-Ticket-Szenario relevant ist."
Genau das ist der Fall. Wir arbeiten bei ein paar wenigen Applikationen mit SPNs, die Kerberos-Tickets im Autrag eines Users anfordern können müssen am DC (Delegation).
Eine Kerberos-Authentifizierung beginnt ja mit der Ticket-Anforderung, damit hat auch die "Client"-Seite einen – wenn auch nur kleinen – Anteil am Anmeldeprozess. Aber ich gebe euch natürlich Recht, wahrscheinlicher ist schon, dass das OOB-Update auf den DCs genügt. Irritiert war ich, weil mir nicht bewusst war, dass die ADS auch auf Client-Betriebssystemen installiert werden können – jedenfalls stehen die OOB-Updates auch für nicht-Server-OS zur Verfügung…
eigentlich nicht. gewisse win10 versionen sind halt auch gleich der buildstand für eine bestimmte server version. ich glaub der jeweilige patch würd sich auch nicht am dazugehörigen windows 10 client installieren lassen.
Update auf DC / Server 2019 installiert, trotzdem haben wir weiterhin den Fehler.
Installier das Update vielleicht auch mal noch auf dem betreffenden Member Server, auf dem die Applikation läuft, die per Delegation arbeiten.
Wir haben hier die Updates gleich mit den Korrekturen zusammen auf alle DCs und Member Server installiert. Bisher keinerlei Probleme zu vermelden…
Das Problem bei Update KB5008605 für Windows Server 2008 R2 besteht darin, dass dieses Update einen neue Version Wusa.exe benötigt.
Die soll es hier geben
https://support.microsoft.com/en-us/topic/error-message-when-you-install-a-msu-update-package-on-a-computer-that-is-running-windows-the-windows-modules-installer-must-be-updated-before-you-can-install-this-package-fe8d5770-df2e-f020-b47c-6605b0de15ba
Aber leider ist der Download nicht mehr vorhanden.
Damit lässt sich das Update KB5008605 für Windows Server 2008 R2 auf solchen Servern nicht mehr installieren.