{"id":237786,"date":"2020-11-18T11:12:24","date_gmt":"2020-11-18T10:12:24","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=237786"},"modified":"2021-05-12T13:33:14","modified_gmt":"2021-05-12T11:33:14","slug":"windows-sonderupdates-fix-fr-kerberos-authentication-problem","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/11\/18\/windows-sonderupdates-fix-fr-kerberos-authentication-problem\/","title":{"rendered":"Windows-Sonderupdates: Fix f&uuml;r Kerberos-Authentication-Problem"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"margin: 0px 10px 0px 0px;\" title=\"Update\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/02\/Update.jpg\" alt=\"Windows Update\" width=\"54\" height=\"54\" align=\"left\" border=\"0\" \/>[<a href=\"https:\/\/borncity.com\/win\/2020\/11\/18\/windows-out-of-band-updates-with-fix-for-kerberos-authentication-ticket-renewal-issue\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Microsoft rollt seit dem 17. November 2020 Sonderupdates f\u00fcr diverse Windows Server-Versionen aus. Diese sollen die Probleme mit der Kerberos-Authentifizierung von Ticket-Erneuerungen auf Domain Controllern beheben.<\/p>\n<p><!--more--><\/p>\n<h2>Das Kerberos-Authentication-Problem<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/9536b255fa5b45d4915195d2ca0319a8\" alt=\"\" width=\"1\" height=\"1\" \/>Das November 2020 Update <a href=\"https:\/\/support.microsoft.com\/help\/4586781\/\">KB4586781<\/a> f\u00fcr Windows Server, Version 2004 und 20H2 behebt eine Reihe an Problemen (siehe auch <a href=\"https:\/\/borncity.com\/blog\/2020\/11\/11\/patchday-windows-10-updates-10-november-2020\/\">Patchday: Windows 10-Updates (10. November 2020)<\/a>). In bestimmten Konstellationen gab es anschlie\u00dfend allerdings Probleme mit der Kerberos-Authentifizierung an Domain Controllern, wenn das Update unter Windows Server, Version 2004 und 20H2 installiert wurde, aber Tickets von Windows Servern ohne dieses Update ausgestellt wurden. Ich hatte das im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2020\/11\/16\/windows-10-windows-server-update-kb4586781-macht-probleme-mit-kerberos-dc-authentifizierung\/\">Windows 10\/Windows Server: Update KB4586781 macht Probleme mit Kerberos DC-Authentifizierung<\/a> thematisiert, nachdem Microsoft einen <a href=\"https:\/\/docs.microsoft.com\/en-us\/windows\/release-information\/status-windows-10-20h2#1522msgdesc\">entsprechenden Hinweis<\/a> auf der Windows Statusseite gepostet hatte. Microsoft hatte baldm\u00f6glichst Abhilfe versprochen.<\/p>\n<h2>Microsoft gibt Sonderupdates mit Fix frei<\/h2>\n<p>Microsoft rollt seit dem 17. November 2020 Sonderupdates f\u00fcr diverse Windows Server-Versionen aus. Ich hatte bereits im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2020\/11\/18\/windows-server-2012-r2-sonderpatch-fr-kerberos-authentication-problem\/\">Windows Server 2012\/R2: Sonderpatch f\u00fcr Kerberos-Authentication-Problem<\/a> auf das erste Update hingewiesen. Hier ist jetzt die Liste der Updates f\u00fcr verschiedene Windows-Versionen.<\/p>\n<ul>\n<li><a href=\"https:\/\/support.microsoft.com\/help\/4594442\/\" target=\"_blank\" rel=\"noopener noreferrer\">KB4594442<\/a> f\u00fcr Windows Server Version 1809 und Windows Server 2019<\/li>\n<li><a href=\"https:\/\/support.microsoft.com\/help\/4594439\/\">KB4594439<\/a> f\u00fcr Windows Server 2012 R2<\/li>\n<li><a href=\"https:\/\/support.microsoft.com\/help\/4594438\/\" target=\"_blank\" rel=\"noopener noreferrer\">KB4594438<\/a> f\u00fcr Windows Server 2012<\/li>\n<\/ul>\n<p>Die obigen Updates beheben Probleme mit der Kerberos-Authentifizierung im Zusammenhang mit dem Wert des Registrierungsunterschl\u00fcssels <em>PerformTicketSignature<\/em> in CVE-2020-17049. Die Probleme h\u00e4ngen mit den Windows-Updates vom 10. November 2020 zusammen. Laut den jeweiligen Supportbeitr\u00e4gen soll das Sonderupdate folgende Probleme beheben:<\/p>\n<ul>\n<li>Kerberos service tickets and ticket-granting tickets (TGT) might not renew for non-Windows Kerberos clients when PerformTicketSignature is set to <strong>1<\/strong> (the default).<\/li>\n<li>Service for User (S4U) scenarios, such as scheduled tasks, clustering, and services for line-of-business applications, might fail for all clients when PerformTicketSignature is set to <strong>0<\/strong>.<\/li>\n<li>S4UProxy delegation fails during ticket referral in cross-domain scenarios if DCs in intermediate domains are inconsistently updated and PerformTicketSignature is set to <strong>1<\/strong>.<\/li>\n<\/ul>\n<p>Die Updates sind im <a href=\"http:\/\/www.catalog.update.microsoft.com\/\" target=\"_blank\" rel=\"noopener noreferrer\">Microsoft Update Catalog<\/a> erh\u00e4ltlich (nach der KB-Nummer suchen lassen). Microsoft empfiehlt die Installation des letzten Servicing Stack Update (SSU) gem\u00e4\u00df <a href=\"https:\/\/web.archive.org\/web\/20201101085445\/https:\/\/portal.msrc.microsoft.com\/en-us\/security-guidance\/advisory\/ADV990001\" target=\"_blank\" rel=\"noopener noreferrer\">ADV990001<\/a>, bevor der Patch installiert wird. Probleme sind bisher nicht bekannt. Details sind den jeweiligen Supportbeitr\u00e4gen zu entnehmen.<\/p>\n<p><strong>Erg\u00e4nzung:<\/strong> Es liegen weitere Updates vor, siehe\u00a0<a href=\"https:\/\/borncity.com\/blog\/2020\/11\/19\/weitere-windows-updates-mit-fix-fr-kerberos-authentication-problem-19-11-2020\/\" rel=\"bookmark noopener noreferrer\" data-wpel-link=\"internal\">Weitere Windows-Updates mit Fix f\u00fcr Kerberos-Authentication-Problem (19.11.2020)<\/a>.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/11\/11\/patchday-windows-10-updates-10-november-2020\/\">Patchday: Windows 10-Updates (10. November 2020)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/11\/16\/windows-10-windows-server-update-kb4586781-macht-probleme-mit-kerberos-dc-authentifizierung\/\">Windows 10\/Windows Server: Update KB4586781 macht Probleme mit Kerberos DC-Authentifizierung<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/11\/18\/windows-server-2012-r2-sonderpatch-fr-kerberos-authentication-problem\/\">Windows Server 2012\/R2: Sonderpatch f\u00fcr Kerberos-Authentication-Problem<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Microsoft rollt seit dem 17. November 2020 Sonderupdates f\u00fcr diverse Windows Server-Versionen aus. Diese sollen die Probleme mit der Kerberos-Authentifizierung von Ticket-Erneuerungen auf Domain Controllern beheben.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[11,3694,2557],"tags":[8194,4298,4315,4364],"class_list":["post-237786","post","type-post","status-publish","format-standard","hentry","category-problemlosung","category-windows-10","category-windows-server","tag-patchday-11-2020","tag-problemlosung","tag-update","tag-windows-server"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/237786","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=237786"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/237786\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=237786"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=237786"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=237786"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}