{"id":237719,"date":"2020-11-16T10:30:08","date_gmt":"2020-11-16T09:30:08","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=237719"},"modified":"2020-11-18T08:50:59","modified_gmt":"2020-11-18T07:50:59","slug":"windows-10-windows-server-update-kb4586781-macht-probleme-mit-kerberos-dc-authentifizierung","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/11\/16\/windows-10-windows-server-update-kb4586781-macht-probleme-mit-kerberos-dc-authentifizierung\/","title":{"rendered":"Windows 10\/Windows Server: Update KB4586781 macht Probleme mit Kerberos DC-Authentifizierung"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/win102.jpg\" width=\"58\" height=\"58\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2020\/11\/16\/windows-10-windows-server-update-kb4586781-macht-probleme-mit-kerberos-dc-authentifizierung\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Kurze Information f\u00fcr Administratoren in Windows 10-Umgebungen (Version 2004 und 20H2), wo bereits Windows Server 2004\/20H2 zum Einsatz kommt. Update KB4586781 vom 10. November 2020 verursacht in ganz speziellen Umgebungen mit gemischten Server-Versionen Probleme mit der Kerberos-Authentifizierung auf Domain Controllern (DC).<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg06.met.vgwort.de\/na\/58aeaad8870b4fe5a3bf3ce1d2249150\" alt=\"\" width=\"1\" height=\"1\" \/>Blog-Leser Alitai hat bereits am Sonntag Abend in den Kommentaren auf das Problem hingewiesen &#8211; ich hatte die Nacht aber keinen Nerv, das schon in den Blog einzustellen.<\/p>\n<h2>Update KB4586781 f\u00fcr Windows 10\/Windows Server<\/h2>\n<p>Update <a href=\"https:\/\/support.microsoft.com\/help\/4586781\/\" target=\"_blank\" rel=\"noopener noreferrer\">KB4586781<\/a> wurde am 10. November 2020 f\u00fcr Windows 10, Version 200, und Version 20H2 sowie f\u00fcr Windows Server, Version 2004 und 20H2 freigegeben. Das Update behebt eine Reihe an Problemen, auch am Windows-Kernel (siehe auch <a href=\"https:\/\/borncity.com\/blog\/2020\/11\/11\/patchday-windows-10-updates-10-november-2020\/\">Patchday: Windows 10-Updates (10. November 2020)<\/a>).<\/p>\n<h2>Probleme mit Kerberos DC-Authentifizierung<\/h2>\n<p>In den Statusinformationen von <a href=\"https:\/\/docs.microsoft.com\/en-us\/windows\/release-information\/status-windows-10-20h2\" target=\"_blank\" rel=\"noopener noreferrer\">Windows 10, version 20H2 and Windows Server, version 20H2<\/a> weist Microsoft in <a href=\"https:\/\/docs.microsoft.com\/en-us\/windows\/release-information\/status-windows-10-20h2#1522msgdesc\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Abschnitt<\/a> darauf hin, dass man ein Problem mit der Kerberos-Authentifizierung auf Domain Controllern (DC) untersucht, welches durch das Update <a href=\"https:\/\/support.microsoft.com\/help\/4586781\/\" target=\"_blank\" rel=\"noopener noreferrer\">KB4586781<\/a> vom 10. November 2020 hervorgerufen wird. Zur Fehlerbeschreibung hei\u00dft es:<\/p>\n<blockquote><p>Nach der Installation von KB4586781 auf Dom\u00e4nencontrollern (DCs) und schreibgesch\u00fctzten Dom\u00e4nencontrollern (RODCs) in Ihrer Umgebung k\u00f6nnen Probleme mit der Kerberos-Authentifizierung auftreten.<\/p><\/blockquote>\n<p>Hervorgerufen wird dies durch den Patch f\u00fcr die Schwachstelle <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2020-17049\" target=\"_blank\" rel=\"noopener noreferrer\">CVE-2020-17049<\/a> (im Netzwerk-Stack) in Update <a href=\"https:\/\/support.microsoft.com\/help\/4586781\/\" target=\"_blank\" rel=\"noopener noreferrer\">KB4586781<\/a>. In der Beschreibung von CVE-2020-17049 gibt es drei Registrierungseinstellungswerte f\u00fcr <em>PerformTicketSignature<\/em>, um diese Ticket-Signatur zu steuern. In der aktuellen Implementierung k\u00f6nnten nach Installation des Update KB4586781 bei jeder Einstellung andere Probleme auftreten:<\/p>\n<ul>\n<li><em>Wert 0:<\/em> Es kann bei der Verwendung von S4U-Szenarien, wie geplante Aufgaben (Scheduled Tasks), Clustering und Services, z. B. Spartenanwendungen (Line-of-Business-Anwendungen), zu Authentifizierungsproblemen kommen.<\/li>\n<li><em>Wert 1:<\/em> Der Standardwert 1 kann bei Nicht-Windows-Clients, die sich bei Windows-Dom\u00e4nen mit Kerberos authentifizieren, zu Authentifizierungsproblemen f\u00fchren.<\/li>\n<li><em>Wert 2:<\/em> Der Wert ist f\u00fcr den Durchsetzungsmodus gedacht und f\u00fchrt zu Problemen in einer Umgebung, in der nicht alle DCs aktualisiert werden, da bestimmte Arten von nicht konformen Kerberos-Tickets explizit abgelehnt werden. Der Wert sollte aktuell auch nicht verwendet werden, wenn die Umgebung DCs mit Windows Server 2008 R2 SP1 oder Windows Server 2008 SP2 enth\u00e4lt.<\/li>\n<\/ul>\n<p>Bez\u00fcglich des Werts 1 schreibt Microsoft, dass der Versuch eines Clients, ein Kerberos-Ticket zu erneuern, scheitert, wenn auf dem Domain Controller (DC) Update <a href=\"https:\/\/support.microsoft.com\/help\/4586781\/\" target=\"_blank\" rel=\"noopener noreferrer\">KB4586781<\/a> installiert ist der ausstellende DC nicht auf die \u00c4nderung vorbereitet ist. Das trifft zu, wenn das Kerberos-Ticket von einem DC ausgestellt wurde, der den Patch vom 10.11.2020 noch nicht enth\u00e4lt. Die Erneuerung scheitert aber auch, wenn das Kerberos-Ticket von einem DC mit Windows Server 2008 R2 SP1 oder Windows Server 2008 SP2 ausgestellt wurde.<\/p>\n<p>Ein Wechsel des Registrierungswerts von 0 auf 1 kann ebenfalls zu diesem Problem f\u00fchren, da es ausstehende Kerberos-Tickets geben kann, die als verl\u00e4ngerbar gekennzeichnet sind, aber von aktualisierten DCs nicht verl\u00e4ngert werden.<\/p>\n<p>Bei der Standardeinstellung von 1 kann es auch zu bereichs\u00fcbergreifenden Verweisungsfehlern auf Windows- und Nicht-Windows-Ger\u00e4ten f\u00fcr Kerberos-Verweisungstickets kommen, die durch Dom\u00e4nen-DCs laufen, die kein am 11. November 2020 ver\u00f6ffentlichtes Update oder ein DC mit Windows Server 2008 R2 SP1 oder Windows Server 2008 SP2 installiert haben. Dieses Problem kann auftreten, wenn die Dom\u00e4nenumgebung teilweise aktualisiert ist oder mindestens einen Windows Server 2008 R2 SP1 oder Windows Server 2008 SP2 enth\u00e4lt.<\/p>\n<p>Das Ganze betrifft nur Windows Server und Windows 10-Systeme samt Anwendungen in Unternehmensumgebungen, wenn folgende Server-Varianten vorhanden und das Update KB4586781 auf einem DC installiert ist.<\/p>\n<blockquote><p>Server: Windows Server, Version 20H2; Windows Server, Version 2004; Windows Server, Version 1909; Windows Server, Version 1903; Windows Server, Version 1809; Windows Server 2019; Windows Server 2016; Windows Server 2012 R2; Windows Server 2012<\/p><\/blockquote>\n<p>Meine Einsch\u00e4tzung ist, dass wohl recht wenige Umgebungen existieren, wo bereits Windows Server 2004 oder 20H2 als Domain-Controller l\u00e4uft (mag mich aber t\u00e4uschen). Aktuell untersucht Microsoft dieses Problem und will baldm\u00f6glichst ein Update bereitstellen. Irgend jemand von euch betroffen?<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Kurze Information f\u00fcr Administratoren in Windows 10-Umgebungen (Version 2004 und 20H2), wo bereits Windows Server 2004\/20H2 zum Einsatz kommt. Update KB4586781 vom 10. November 2020 verursacht in ganz speziellen Umgebungen mit gemischten Server-Versionen Probleme mit der Kerberos-Authentifizierung auf Domain Controllern &hellip; <a href=\"https:\/\/borncity.com\/blog\/2020\/11\/16\/windows-10-windows-server-update-kb4586781-macht-probleme-mit-kerberos-dc-authentifizierung\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3694,2557],"tags":[8038,8195],"class_list":["post-237719","post","type-post","status-publish","format-standard","hentry","category-windows-10","category-windows-server","tag-windows-10-20h2","tag-windows-server-20h2"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/237719","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=237719"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/237719\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=237719"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=237719"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=237719"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}