[English]Mit den von Microsoft zum 8. November 2022 veröffentlichten Sicherheitsupdates kam es zu Problemen mit der Kerberos Authentifizierung gegenüber Windows Domain Controllern (DCs). Microsoft hatte dies inzwischen bestätigt und hat zum 17. November 2022 ein Sonderupdate (Out-of-Band-Update) für Windows Server 2012 R2 bis 1909 veröffentlicht, um das Problem zu korrigieren. Ergänzung: Fehlende Updates für Windows Server 2008 SP2 bis Windows Server 2022 sind jetzt verfügbar und wurden nachgetragen. Ergänzung 2: FehlendesUpdate für Windows Server 2008 R2 verfügbar und nachgetragen.
Anzeige
Ich hatte ja bereits am 10. November 2022 im Blog-Beitrag November 2022-Updates für Windows: Änderungen am Netlogon- und Kerberos-Protokoll über die aufgetretenen Probleme berichtet. Nach der Installation von Updates, die am 8. November 2022 oder später auf Windows-Servern mit der Rolle Domänencontroller veröffentlicht wurden, können Probleme mit der Kerberos-Authentifizierung auftreten. Dieses Problem kann sich auf jede Kerberos-Authentifizierung in Ihrer Umgebung auswirken.
Die Anmeldung von Domänenbenutzern kann fehlschlagen. Gruppenverwaltete Dienstkonten (gMSA), die für Dienste wie Internet Information Services (IIS Web Server) verwendet werden, können möglicherweise nicht authentifiziert werden. Remote Desktop-Verbindungen mit Domänenbenutzern können möglicherweise nicht hergestellt werden. Zugriffe auf auf freigegebene Ordner auf Workstations und Dateifreigaben auf Servern funktionieren nicht mehr. Und Druckvorgänge, die eine Domänenbenutzer-Authentifizierung erfordern, schlagen möglicherweise fehl. Microsoft hat dies in einem eigenen Beitrag bestätigt – siehe auch den Blog-Beitrag Microsoft bestätigt Kerberos Authentifizierungsprobleme nach Nov. 2022 Updates.
Updates fixen Kerberos Authentifizierungsprobleme
Blog-Leser Robert hat in diesem Kommentar darauf hingewiesen (danke dafür), dass Microsoft zum 17. November 2022 außerplanmäßige Updates zum Beheben der Kerberos Authentifizierungsprobleme veröffentlicht hat. Die außerplanmäßigen Updates stehen für folgende Windows Server-Versionen zur Verfügung und müssen lediglich auf den Domain Controllern installiert werden:
- KB5021656: Windows Server 2022
- KB5021655: Windows Server 2019
- KB5021654: Windows Server 2016
- KB5021653: Windows Server 2012 R2
- KB5021652: Windows Server 2012
- KB5021657: Windows Server 2008 SP2
- KB5021651: Windows Server 2008 R2 (18. Nov. 2022)
Für Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 und Windows Server 2022 war beim Erstellen des Beitrags noch kein Update zu finden. Diese wurde inzwischen nachgetragen.
Anzeige
Anmerkung: Für Windows Server 2008 R2 habe ich noch kein Update gefunden. Ich bin bisher sowieso davon ausgegangen, dass Windows Server 2008 R2 nicht vom Problem betroffen war. Es heißt aber (siehe z.B. hier), dass Microsoft das Update kommende Woche ausrollen will.
Bezüglich der Korrekturen, die die Updates ausführen, schreibt Microsoft in seinen Supportbeiträgen:
Addresses a known issue that affects Windows Servers that have the Domain Controller (DC) role. They might have Kerberos authentication issues if both of the following are true:
- You installed a Windows update on or after November 8, 2022 on the DC.
- You configured the SupportedEncrytionType key to remove the RC4 cipher at a domain level or on individual account.
You might receive Microsoft-Windows-Kerberos-Key-Distribution-Center Event ID 14 errors. These appear in the System section of the Event Log on your DC. The affected events include the text, "the missing key has an ID of 1".
Die Updates müssen aus dem Microsoft Update Catalog heruntergeladen und dann manuell auf dem Domain Controller (DC) installiert werden. Bei Update KB5021655 für Windows Server 2019 erwähnt Microsoft ein bekanntes Problem (Cluster Service startet nicht). Details finden sich in den oben verlinkten Supportbeiträgen.
Ergänzung: Inzwischen habe ich auch den Beitrag Sign in failures and other issues related to Kerberos authentication auf der Windows Server 2022 Release health Statusseite gefunden, wo das alles nochmals zusammen gefasst wird.
Ähnliche Artikel:
Patchday: Windows 10-Updates (8. November 2022)
Patchday: Windows 11/Server 2022-Updates (8. November 2022)
Windows 7/Server 2008 R2; Windows 8.1/Server 2012 R2: Updates (8. November 2022)
Windows 10 20H2-22H2 Preview Update KB5020030 (15.11.2022)
Windows 11 21H2: Preview-Update KB5018483 (15.11.2022)
November 2022-Updates für Windows: Änderungen am Netlogon- und Kerberos-Protokoll
Microsoft bestätigt Kerberos Authentifizierungsprobleme nach Nov. 2022 Updates
Anzeige
Wieder die übliche Frage. Ist das Update kommutativ oder muss ich erst das "kaputte" installieren und dann das neue und dann Neustarten? Mit Neustart dazwischen ist ohne ggf. funktionierende rdp Verbindung etwas problematisch.
Habt ihr schon Erfahrungen wie es mit dem Update läuft (mit/ohne "SupportedEncrytionType" konfiguriert)?
siehe: https://learn.microsoft.com/en-us/windows/release-health/windows-message-center
für 2016, 2019, 2022: einfach nur das neue OOB Update installieren
für 2008 bis 2012 R2:
– wenn man normalerweise die CU installiert: CU installieren + OOB und danach neustarten
– wenn man normalerweise die SU installiert: nur das OOB installieren (SU von November ist nicht notwendig)
Angaben ohne Gewähr
Hallo Thomas,
du brauchst keine Angst haben, bei diesem Bug kann man sich jederzeit über die IP-Adresse per RDP anmelden.
Der Patch muss auf allen Domain Controllern installiert werden.
Es seit denn man hat Kerberos mit IP-Adressen angeknipst um nicht den NTLM Fallback zu billigen.
Vielleicht ist an der Stelle eher enablecredsspsupport:i:0 und ordentliches RDP-SSL besser.
… und wie immer ist die Antwort keine 5 Minuten entfernt: probier es halt aus.
entschuldige, aber diese Fragen, die man in 5 Minuten selbst beantworten kann stellen sich nicht.
ihr habt alle eine virtuelle Umgebung, zur Not, auf dem 10/11 client selbst mit hyperv. Ein DC plus Workstation und memberserver, die die wichtigsten Basteleien abdecken ist in 1 Stunde aufgebaut und wird dauernd benötigt.
Von der Dateigröße her ist es logisch, dass es zusätzlich zum Cumulative von November installiert werden muss. Das OOB ist ja gerade mal 36 MB groß. Kommt also einfach oben drauf, fertig…
Bei den Servern 2016, 2019 und 2022 kannst du den Patch einfach installieren. Die Patches sind Cumulative.
"Das OOB ist gerade mal 36 MB groß"… soso, welches meinst Du denn?bei Server 2016/19/22 ist es hunderte MBs groß (1,5 GB bei Server 2016 zum Beispiel und auch kumulativ). Also bitte unterscheiden. Bei Server 2012 stehen 36 MB, ja.
Sorry, habs nur für den 2012er auf die schnelle nachgeguckt. Meine Aussage ist dann tatsächlich nur für den 2012er korrekt
Offenbar können die Leute nur noch motzen, aber nicht mehr lesen:
https://www.borncity.com/blog/2022/11/18/out-of-band-updates-korrigieren-kerberos-authentifizierungsprobleme-auf-dcs-17-nov-2022/#comment-136214
Aber extra und nur für dich nochmals gaaanz einfach:
Für Server 2016, 219 und 2022 gibt es ein CU, wobei CU für eingeweihte für Cumulative Update steht (hint…)
Für Server 2008, 2012 und 2012 R2 gibt es Standalone Updates, welche man nach dem November CU installieren sollte.
Ich weiss beim besten Willen nicht, was daran so schwer zu verstehen sein soll…
Mhm, tatsächlich nur für DCs? KB5021653 steht immerhin auch Clients (8.1) zur Verfügung?
Heute auf Windows Server 2016 Datacenter (DCs) direkt installiert und keine Probleme.
Moin zusammen,
wie ist die Resonanz bisher (2016/2019 DCs)?
Gab's Probleme?
Liebe Grüße!
KB5021651 ist für Server 2008 R2
Danke, habe es oben nachgetragen.
Hallo, Thomas, hier ist es sehr gut erklärt: https://learn.microsoft.com/en-us/windows/release-health/status-windows-11-22H2#2953msgdesc
"Note: You do not need to apply any previous update before installing these cumulative updates. If you have already installed updates released November 8, 2022, you do not need to uninstall the affected updates before installing any later updates including the updates listed above.
Kann man bei den ungepatchten Systemen auch einfach bis Dezember warten?
Natürlich. Du kannst immer warten. No risk no fun…
Hat jemand von euch die gleichen Probleme nach dem Update?
https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/november-2022-out-of-band-update-released-take-action/bc-p/3681624
"Hello everyone,
Does someone has identified a memory leak caused by lsass.exe process (attach to services : netlogon, KDC, Active Directory, etc.) on Windows Server 2016 with domain controllers role since the KB5019964 installation?
I have some domain controllers on W2k16 with latest November CU patch and they all have a memory leak caused by the lsass.exe process.
The other domain controllers which doesn't have the November CU installed don't have this memory leak.
I'm currently installing the OOB patch to see if it fix this memory leak.
EDIT 23/11/2022:
The OOB patch didn't fix the memory leak on lsass.exe process so we proceed to uninstall the November CU KB5019964 and OOB KB5021664 on our Windows Server 2016 Domain Controllers."
Microsoft hat das Problem gerade bestätigt und einen Workaround vorgeschlagen.
Windows Server November 2022-Updates verursachen LSASS-Memory Leak
Moin, habe gestern unsere beiden Domänencontroller (Windows 2012 R2) aktualisiert. Nach dem monatlichen Qualitätsupdate 11-2022 habe ich das Out-of-band Update installiert und die Server durchgestartet.
Keine Probleme…
das OOB löste die Zugriffs-Probleme mit älteren Systemen wie Server 2003 NICHT – das kann ich bestätigen!
Hier:
OOB update to address an issue with sign in and Kerberos authentication
Don't install them yet though, we've received the following communication from our partner:
"There are Out Of Band patches released by Microsoft today (17th November 2022) which were supposed to fix the issues confirmed in the 8th November 2022 bundle however initial testing from the Global Patch Team is showing the problem still exists!
They're reaching out to Microsoft for a response while they continue testing, in the meantime the following is the advice:
Do NOT directly download and install the original (8th November 2022) or the new patches (17th November 2022) on Domain Controllers, we cannot confirm they resolve the issue!"