[English]Im Jahr 2021 wurden durch Microsoft einige Schwachstellen im Bereich des Drucker-Spoolers geschlossen. Die Sicherheitsupdates sowie die damit einhergehenden Druckerprobleme sind unter dem Begriff "Print Nightmare" bekannt. In Folge sieht es so aus, dass da in Windows Domains einige unerkannte Probleme schlummern. Print-Server schicken kontinuierlich fehlerhafte Kerberos-Anfragen an den Domain Controller (DC). Das kann zur Verlangsamung der Druckausgaben führen und ggf. sogar den DC ausbremsen.
Anzeige
Ein Leserhinweis auf das Problem
Blog-Leser Patrick G. hat mich heute per E-Mail auf ein Problem hingewiesen, welches möglicherweise in einem Windows-Server-Umgebungen existiert und sich auf Print-Server und Domain Controller auswirkt. Patrick schrieb:
Sehr geehrter Herr Born,
ich bin heute durch Zufall auf diesen Beitrag von Microsoft gestoßen, der eventuell ganz interessant für andere Admins (also ihren Blog) wäre. War leider selbst „Opfer" dieses Bugs.
Geht darum, dass Printserver massenhaft falsche Kerberos-Anfragen an den DC schicken und in weiterer Folge auf NTLM zurückgreifen. Dies kann zu langsamen Drucken bis hin zu langsamen DCs führen.
Abhilfe ist eigentlich ganz einfach durch das Setzen eines einzigen Regkeys (der vermutlich auch bald als GPO-Setting verfügbar sein wird).
Das Thema ist an mir vorbei gegangen – von daher mein Dank an Patrik für den Hinweis.
Print Nightmare-Nachwehen bei DCs
am 6. Juli 2021 wurde eine Schwachstelle im Windows Druckdienst durch ein Sicherheitsupdate geschlossen. Die Schwachstelle wurde dann unter dem Begriff "Print Nightmare" bekannt, weil mehrere Patches erforderlich waren, um die Sicherheit wiederherzustellen. Und Administratoren wurden nach der Installation von Sicherheitsupdates unter Windows durch Druckprobleme in Atem gehalten. Die sich über Monate hinziehenden Probleme sind unter dem Begriff "Print Nightmare" bekannt. Die Artikellinks am Ende des Beitrags zeigen das damalige Desaster auf. Die meisten Administratoren dürften froh sein, wenn die Print-Server wieder problemlos funktionieren.
Anzeige
Allerdings scheint das Patchen durch Microsoft noch Kollateralschäden in Windows Domains hinterlassen zu haben. Das Directory Services-Team weist im Techcommunity-Beitrag A Print Nightmare Artifact – krbtgt/NT Authority (vom März 2023) auf einen Kollateralschaden hin. Dem Team ist häufiger das Problem untergekommen, weil Print-Server fehlerhafte Kerberos-Anfragen an den Domain Controller schicken.
Dann treten Symptome wie langsame oder träge Domain Controller (DCs), langsame oder träge Druckerserver (Print-Server) auf. Die Client werden beim Drucken verlangsamt, weil sie keine Verbindung zu Druckwarteschlangen herstellen können und Ähnliches. Das Team schreibt, dass diese Leistungsprobleme lange Zeit nicht auffallen, bis sie sich (nach erreichen eines Schwellenwerts) plötzlich manifestieren.
Registrierungseintrag schafft Abhilfe
Nach Analyse auftretender Fälle wurden die fehlerhaften Kerberos-Authentifizierungsanfragen an den Domain Controller als Ursache identifiziert. Im Techcommunity-Beitrag skizziert das Team, wie sich dieses Probleme aufspüren lässt. Lassen sich die Leistungsprobleme bei Print-Servern und Domain Controllern auf diese Ursache zurückführen, gibt es eine einfache Lösung. Hierzu ist auf den Clients der Registrierungseditor über Als Administrator ausführen aufzurufen und zu folgendem Registrierungsschlüssel zu navigieren:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\RPC
Dort ist der 32-Bit-DWORD-Wert RpcNamedPipeAuthentication auf 2 zu setzen. Der Registrierungswert steuert am Client, ob dieser bei RPC over NamedPipes-Aufrufen Authentifizierungsinformationen an den entfernten Rechner sendet. Mit dem obigen Registrierungseingriff werden nach meiner Lesart die fehlerhaften Kerberos Authentifizierungsanfragen vom Client an den Domain Controller unterbunden. Der entfernte Rechner kann dann den eingehenden RPC-Aufruf ohne die Authentifizierungsinformationen zurückweisen, was aber nicht zu einer Sicherheitslücke führt, schreibt das Team. Weitere Details entnehmt ihr dem Techcommunity-Beitrag A Print Nightmare Artifact – krbtgt/NT Authority.
Auf reddit.com gibt es übrigens diese Diskussion aus 2021/2022, wo das Problem bereits angerissen wurde.
Ähnliche Artikel
PoC für Windows Print-Spooler-Schwachstelle öffentlich, hohes RCE-Risiko
Windows Print-Spooler Schwachstelle (CVE-2021-1675, PrintNightmare) von MS bestätigt; CISA warnt
Nachlese: Das Chaos-PrintNightmare-Notfall-Update (6./7.Juli 2021)
Notfall-Update schließt PrintNightmare-Schwachstelle in Windows (6. Juli 2021)
PrintNightmare-Notfall-Update auch für Windows Server 2012 und 2016 (7. Juli 2021)
Microsoft zur PrintNightmare-Schwachstelle CVE-2021-34527: Windows ist nach Patch sicher
Windows-Schwachstelle PrintNightmare: Es ist noch nicht vorbei (15. Juli 2021)
PrintNightmare: Point-and-Print erlaubt die Installation beliebiger Dateien
Microsoft Defender for Identity kann PrintNightmare-Angriffe erkennen
0Patch Micropatches für PrintNightmare-Schwachstelle (CVE-2021-34527)
0patch-Fix für neue Windows PrintNightmare 0-day-Schwachstelle (5. Aug. 2021)
Windows PrintNightmare, neue Runde mit CVE-2021-36958
Ransomware-Gang nutzt PrintNightmare für Angriffe auf Windows Server
Vice Society: 2. Ransomware-Gang nutzt Windows PrintNightmare-Schwachstelle für Angriffe
Microsofts macht bei PrintNightmare auf „schlanker Fuß"
Windows: PrintNightmare-Nachlese und Stand (27. August 2021)
Patchday-Nachlese Sept. 2021: Neues PrintNightmare-Fix-Desaster
Windows PrintNightmare: Microsoft bestätigt Probleme nach Sept. 2021-Update
Windows September 2021-Update: Workaround für Druckprobleme
Windows-PrintNightmare: Stand, Probleme und Workarounds (22. Sept. 2021)
Tipp: Windows PrintNightmare-Testtools für Administratoren
Microsoft bestätigt Windows-Netzwerkdruckproblem nach Oktober 2021-Updates
Windows Oktober 2021-Updates: PrintNightmare-Stand und Netzwerk-Druckprobleme
Windows (PrintNightmare) Druckprobleme Stand 1. Nov. 2021(KB5006674, KB5006670)
Windows PrintNightmare-Druckprobleme: Server verliert Einstellungen, Fehler beim Drucken (11. Nov. 2021)
Anzeige
Ich konnte zuerst am DC und am Print-Server haufenweise NTLM-Logs sehen (nachdem ich diese aktiviert habe). Dies machte mich stutzig und so suchte ich weiter.
Nachdem ich dann den verlinkten MS-Beitrag gefunden hatte, habe ich den von dir angesprochenen Reg-Key am CLIENT gesetzt und unmittelbar danach waren die "KDC_ERR_S_PRINCIPAL_UNKNOWN" im Ereignislog des Clients zu finden.
Die vielen "KDC_ERR_S_PRINCIPAL_UNKNOWN" mit dem SPN krbtgt/NT Authority waren mir im März auch in unserer Umgebung auch aufgefallen. ~3Millionen "KDC_ERR_S_PRINCIPAL_UNKNOWN" bei ~5k Clients pro Tag. Die Meldungen verschwanden nach setzen des Reg-Keys und Spooler restart nahezu direkt. Zusätzlich sehe ich jetzt 80% weniger NTLM / Kerberos Anfragen über alle DCs
Hallo,
sind denn die wegen Printnightmare getroffenen Vorkehrungen nach wie vor nötig oder wurde das von MS im Laufe des letzten Jahres zuverlässig gepatcht?
Das wäre dann nämlich an mir vorbeigegangen und ich konnte mit den getroffenen Vorkehrungen im Alltag bis jetzt gut leben, würde das aber ansonsten auch so langsam wieder rückgängig machen.
Vielen Dank!
So weit mir bekannt, sind die Änderungen Teil des Patches und KEINE Workarounds.
Hierzu kann ich noch hinzufügen, dass diese Fehlerflut hauptsächlich von der Art der Verbindung abhängt. Sprich werden die Drucker mittels FQDN verbunden und nicht nur mit dem Namen, dann gibt es die Fehler nicht (mehr). Das mühsame ist, alle alten Überresten für jeden User/Computer zu tilgen.
Die Zweite mögliche Ursache ist die Kerberos-Ticket-Time. Sobald die abgelaufen ist, versucht es Windows wieder NTLM. Das ist insbesondere bei den Mitgliedern der "Protected User" Group nach ein paar Stunden der Fall.
Sprich wenn alles so verbunden wird, wie man es eigentlich sollte, braucht es die Registry-Flags nicht.