{"id":259337,"date":"2021-11-11T14:54:12","date_gmt":"2021-11-11T13:54:12","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=259337"},"modified":"2021-11-15T09:46:37","modified_gmt":"2021-11-15T08:46:37","slug":"november-2021-patchday-probleme-wsus-dc-events","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/11\/11\/november-2021-patchday-probleme-wsus-dc-events\/","title":{"rendered":"November 2021 Patchday-Probleme: WSUS, DC, Events"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline; border-width: 0px;\" title=\"Update\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/06\/Update-01.jpg\" alt=\"Update\" align=\"left\" border=\"0\" \/>[<a href=\"https:\/\/borncity.com\/win\/2021\/11\/11\/november-2021-patchday-probleme-wsus-dc-events\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Mit dem Microsoft Patchday zum 9. November 2021 wurden verschiedene Sicherheitsupdates freigegeben. Neben den bereits bekannten Druckproblemen, verursacht durch fr\u00fchere Updates, gibt es bei Domain Controllern (DCs) nun Authentifizierungsprobleme bei bestimmten Kerberos-Delegation-Szenarios. F\u00fchrt wohl zu Eintr\u00e4gen in den Log-Dateien. Einige Administratoren melden, dass ihr WSUS nicht alle Updates ziehen kann.<\/p>\n<p><!--more--><\/p>\n<h2>Probleme mit WSUS-Update-Synchronisation<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg08.met.vgwort.de\/na\/1741b7f2d37b4712a5952955563948cb\" alt=\"\" width=\"1\" height=\"1\" \/>Ich wei\u00df nicht, ob das Problem noch besteht. Aber zum 11. Nov. 2021 meldeten sich mehrere Administratoren, die feststellten, dass der WSUS nicht alle Updates ziehen kann. Hier <a href=\"https:\/\/borncity.com\/blog\/2021\/11\/10\/microsoft-security-update-summary-9-november-2021\/#comment-116904\" target=\"_blank\" rel=\"noopener\">ein Kommentar<\/a> aus dem Blog:<\/p>\n<blockquote><p>Unser WSUS auf Basis des Windows Servers 2016, zieht nur die November Updates der Server Versionen und das Windows Tool zum Entfernen b\u00f6sartiger Software. Mehrfach schon manuell syncronisiert und den Server rebootet, jedoch ohne den Effekt, dass die Windows 10 Updates gezogen werden. Wir haben an den Einstellungen des Servers absolut nichts ver\u00e4ndert und die erforderlichen Win10 Versionen sind auch definitiv angehakt.<\/p>\n<p>Kann jemand das ebenfalls nachvollziehen? Hat Microsoft etwa die Win10 Updates f\u00fcr den November zur\u00fcckgezogen???<\/p><\/blockquote>\n<p>Das Verhalten wurde von einem weiteren Administrator f\u00fcr Windows Servers 2016 best\u00e4tigt (Windows Server 2019 scheint nicht betroffen). Noch jemand mit diesem Problem?<\/p>\n<h2>Authentifizierungsprobleme mit Domain-Controllern<\/h2>\n<p>Im Blog-Beitrag zu Windows 11 gibt es <a href=\"https:\/\/borncity.com\/blog\/2021\/11\/10\/patchday-windows-11-updates-9-november-2021\/#comment-116913\" target=\"_blank\" rel=\"noopener\">folgenden Kommentar<\/a>, dass die Sicherheitsupdates nicht auf Domain-Controllern installiert werden sollen. Microsoft hat inzwischen den Support-Beitrag <a href=\"https:\/\/docs.microsoft.com\/en-ca\/windows\/release-health\/status-windows-10-1809-and-windows-server-2019#2748msgdesc\" target=\"_blank\" rel=\"noopener\">Authentication might fail on DCs with certain Kerberos delegation scenarios<\/a> dazu ver\u00f6ffentlicht.<\/p>\n<ul>\n<li>Nach der Installation der Sicherheitsupdate vom 9. November 2021 auf Domain Controllern (DC) kann es bei den angegebenen Server-Versionen zu Authentifizierungsfehlern auf Servern kommen, die mit Kerberos-Tickets zusammenh\u00e4ngen, die \u00fcber S4u2self erworben wurden.<\/li>\n<li>Die Authentifizierungsfehler sind das Ergebnis von Kerberos-Tickets, die \u00fcber S4u2self erworben und als Beweistickets f\u00fcr den Protokoll\u00fcbergang zur Delegierung an Backend-Dienste verwendet wurden und bei denen die Signaturvalidierung fehlschl\u00e4gt.<\/li>\n<li>Die Kerberos-Authentifizierung schl\u00e4gt bei Kerberos-Delegierungsszenarien fehl, bei denen der Front-End-Dienst ein Kerberos-Ticket im Namen eines Benutzers abruft, um auf einen Back-End-Dienst zuzugreifen.<\/li>\n<\/ul>\n<p>Wichtige Kerberos-Delegierungsszenarien, bei denen ein Kerberos-Client dem Front-End-Dienst ein Evidenzticket zur Verf\u00fcgung stellt, sind davon nicht betroffen. Reine Azure Active Directory-Umgebungen sind von diesem Problem nicht betroffen.<\/p>\n<p>Microsoft gibt an, dass Endbenutzer in Ihrer Umgebung sich m\u00f6glicherweise nicht bei Diensten oder Anwendungen anmelden k\u00f6nnen, die Single Sign On (SSO) mit Active Directory vor Ort oder in einer hybriden Azure Active Directory-Umgebung verwenden. Auf den Client-Windows-Ger\u00e4ten installierte Updates werden dieses Probleme, laut Microsoft, nicht verursachen oder beeinflussen. Als Betroffen gibt Microsoft folgende Server-Versionen an &#8211; ich habe die Updates hinzugef\u00fcgt:<\/p>\n<ul>\n<li>KB5007206: Windows Server 2019<\/li>\n<li>KB5007192: Windows Server 2016<\/li>\n<li>KB5007247: Windows Server 2012 R2<\/li>\n<li>KB5007260:\u00a0 Windows Server 2012<\/li>\n<li>KB5007236: Windows Server 2008 R2 SP1<\/li>\n<li>KB5007263: Windows Server 2008 SP2<\/li>\n<\/ul>\n<p>Blog-Leser MOM20xx <a href=\"https:\/\/borncity.com\/blog\/2021\/11\/10\/patchday-windows-11-updates-9-november-2021\/#comment-116931\" target=\"_blank\" rel=\"noopener\">schreibt hier<\/a>, dass das Problem wohl nicht nur Domain-Controller betreffe. Er hatte die ersten Authentifizierungsprobleme auf gepatchten Servern, da waren die Domain Controller noch gar nicht gepatcht. Von den Problemen betroffene Umgebungen verwenden m\u00f6glicherweise die folgenden Funktionen:<\/p>\n<ul>\n<li>Azure Active Directory (AAD) Application Proxy Integrated Windows Authentication (IWA) using Kerberos Constrained Delegation (KCD)<\/li>\n<li>Web Application Proxy (WAP) Integrated Windows Authentication (IWA) Single Sign On (SSO)<\/li>\n<li>Active Directory Federated Services (ADFS)<\/li>\n<li>Microsoft SQL Server<\/li>\n<li>Internet Information Services (IIS) using Integrated Windows Authentication (IWA)<\/li>\n<li>Intermediate devices including Load Balancers performing delegated authentication<\/li>\n<\/ul>\n<p>Dann sollten folgende Fehler in der betreffenden Umgebung auftreten:<\/p>\n<ul>\n<li><strong>Event Viewer <\/strong>might show <strong>Microsoft-Windows-Kerberos-Key-Distribution-Center<\/strong> <a href=\"https:\/\/docs.microsoft.com\/en-us\/previous-versions\/windows\/it-pro\/windows-server-2008-R2-and-2008\/cc733969(v=ws.10)\" target=\"_blank\" rel=\"noopener\">event 18<\/a> logged in the <strong>System <\/strong>event log<\/li>\n<li>Error 0x8009030c with text <strong>Web Application Proxy encountered an unexpected<\/strong> is logged in the Azure AD Application Proxy event log in Microsoft-AAD Application Proxy Connector event 12027<\/li>\n<li>Network traces contain the following signature similar to the following:\n<ul>\n<li>7281 24:44 (644) 10.11.2.12 &lt;app server hostname&gt;.contoso.com KerberosV5 KerberosV5:TGS Request Realm: CONTOSO.COM Sname: http\/xxxxx-xxx.contoso.com<\/li>\n<li>7282 7290 (0) &lt;hostname&gt;. CONTOSO.COM &lt;IP address of the application server making the TGS request&gt;<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>Die Ereigniseintr\u00e4ge in System sind mir (zumindest nach meiner Interpretation) heute bei administrator.de in <a href=\"https:\/\/administrator.de\/content\/detail.php?id=1493305028&amp;token=659\" target=\"_blank\" rel=\"noopener\">diesem Beitrag<\/a> bereits unter die Augen gekommen. Microsoft arbeitet an dem Problem.<\/p>\n<p><strong>Erg\u00e4nzung:<\/strong> Zum 14. November 2021 hat Microsoft Sonderupdates zum Korrigieren der DC-Authentifizierungsprobleme ver\u00f6ffentlicht &#8211; siehe auch die nachfolgenden Kommentare. Ich habe alle vier Updates f\u00fcr Windows Server im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2021\/11\/15\/windows-10-windows-server-sonderupdates-korrigieren-dc-authentifizierungsfehler-14-11-2021\/\">Windows 10\/Windows Server: Sonderupdates korrigieren DC-Authentifizierungsfehler (14.11.2021)<\/a> zusammen getragen.<\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/>\n<\/strong><a href=\"https:\/\/borncity.com\/blog\/2021\/11\/10\/microsoft-security-update-summary-9-november-2021\/\">Microsoft Oktober 2021 Patchday (9. November 2021)<\/a><strong><br \/>\n<\/strong><a href=\"https:\/\/borncity.com\/blog\/2021\/11\/10\/patchday-windows-10-updates-9-november-2021\/\">Patchday: Windows 10-Updates (9. November 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/11\/10\/patchday-windows-8-1-server-2012-updates-9-november-2021\/\">Patchday: Windows 8.1\/Server 2012-Updates (9. November 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/11\/10\/patchday-updates-fr-windows-7-server-2008-r2-9-november-2021\/\">Patchday: Updates f\u00fcr Windows 7\/Server 2008 R2 (9. November 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/11\/10\/patchday-windows-11-updates-9-november-2021\/\">Patchday: Windows 11 Updates (9. November 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/11\/10\/microsoft-security-update-summary-9-november-2021\/\">Microsoft Security Update Summary (9. November 2021)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Mit dem Microsoft Patchday zum 9. November 2021 wurden verschiedene Sicherheitsupdates freigegeben. Neben den bereits bekannten Druckproblemen, verursacht durch fr\u00fchere Updates, gibt es bei Domain Controllern (DCs) nun Authentifizierungsprobleme bei bestimmten Kerberos-Delegation-Szenarios. F\u00fchrt wohl zu Eintr\u00e4gen in den Log-Dateien. Einige &hellip; <a href=\"https:\/\/borncity.com\/blog\/2021\/11\/11\/november-2021-patchday-probleme-wsus-dc-events\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7862,185,301],"tags":[8288,154,4315,3288],"class_list":["post-259337","post","type-post","status-publish","format-standard","hentry","category-stoerung","category-update","category-windows","tag-patchday-11-2021","tag-probleme","tag-update","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/259337","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=259337"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/259337\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=259337"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=259337"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=259337"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}