{"id":265292,"date":"2022-05-12T14:48:17","date_gmt":"2022-05-12T12:48:17","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=265292"},"modified":"2022-05-20T08:53:14","modified_gmt":"2022-05-20T06:53:14","slug":"windows-mai-2022-updates-verursachen-ad-authentifizierungsfehler-server-client","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/05\/12\/windows-mai-2022-updates-verursachen-ad-authentifizierungsfehler-server-client\/","title":{"rendered":"Windows Mai 2022-Updates verursachen AD-Authentifizierungsfehler (Server, Client)"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Windows\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" alt=\"Windows\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2022\/05\/12\/windows-mai-2022-updates-verursachen-ad-authentifizierungsfehler-server-client\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Die Sicherheitsupdates vom 10. Mai 2022 f\u00fcr Windows f\u00fchren zu diversen Problemen. Eines betrifft die Authentifizierung auf Domain Controllern. Diese scheint f\u00fcr verschiedene Maschinen (Client und Server) wegen Zertifikatsfehlern zu scheitern. Betroffen sind alle Clients, von Windows 7 SP1 (mit ESU) bis hin zu Windows 11 und die betreffenden Server-Pendants. Microsoft hat das Problem inzwischen best\u00e4tigt.<\/p>\n<p><!--more--><\/p>\n<h2>Benutzermeldungen im Blog und im Internet<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg02.met.vgwort.de\/na\/ccdca57dcec545ff903d83a8f09d49b0\" alt=\"\" width=\"1\" height=\"1\" \/>Hier im Blog gibt es <a href=\"https:\/\/borncity.com\/blog\/2022\/05\/11\/windows-office-mai-2022-patchday-probleme-und-besonderheiten\/#comment-125552\">diese ausf\u00fchrliche Diskussion<\/a> zu Problemen mit 802.1x-Zertifikaten nach dem Patchen von Domain Controllern und NPS-Servern. Michael schreibt dazu:<\/p>\n<blockquote><p>Ja, ich hab hier den NPS mit Computerzertifikaten laufen.<\/p>\n<p>Mit dem Update KB5013941 k\u00f6nnen keine Authentifizierungen mehr auf Grund von Zertifikaten erfolgen (Error 16, Authentication failed due to a user credentials mismatch. Either the user name provided does not map to an existing user account or the password was incorrect.)<\/p>\n<p>Nach Deinstallation des Updates funktioniert der NPS wieder.<\/p><\/blockquote>\n<p>Ich hatte kurz im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2022\/05\/11\/windows-office-mai-2022-patchday-probleme-und-besonderheiten\/\">Windows, Office: Mai 2022 Patchday-Probleme und Besonderheiten<\/a> auf dieses Problem hingewiesen. Auf reddit.com findet sich <a href=\"https:\/\/www.reddit.com\/r\/sysadmin\/comments\/um9qur\/patch_tuesday_megathread_20220510\/i85p2ll\/?context=3\" target=\"_blank\" rel=\"noopener\">dieser Thread<\/a> mit der gleichen Fehlerbeschreibung:<\/p>\n<blockquote><p>My NPS policies (with certificate auth) have been failing to work since the update, stating \"Authentication failed due to a user credentials mismatch. Either the user name provided does not map to an existing account or the password was incorrect.\".<\/p>\n<p>The server also serves the DC and ADCS role (don't ask, working on severing).<\/p>\n<p>Uninstalling KB5014001 and KB5014011 resolves this but obviously would rather get them patched.<\/p>\n<p>Anyone else seeing this? Running on 2012R2.<\/p><\/blockquote>\n<p>Wird auch f\u00fcr andere Server-Versionen (2019 etc.) best\u00e4tigt.<\/p>\n<h2>Microsoft best\u00e4tigt Fehler<\/h2>\n<p>Microsoft hat inzwischen das Problem im <a href=\"https:\/\/docs.microsoft.com\/en-us\/windows\/release-health\/status-windows-11-21h2\" target=\"_blank\" rel=\"noopener\">Windows 11 Health-Dashboard<\/a> unter den Know Issues im Beitrag <a href=\"https:\/\/docs.microsoft.com\/en-us\/windows\/release-health\/status-windows-11-21h2#2826msgdesc\" target=\"_blank\" rel=\"noopener\">You might see authentication failures on the server or client for services<\/a> zum 11. Mai 2022 angesprochen und best\u00e4tigt das Problem:<\/p>\n<blockquote><p>After installing updates released May 10, 2022 on your domain controllers, you might see authentication failures on the server or client for services such as <a href=\"https:\/\/docs.microsoft.com\/en-us\/windows-server\/networking\/technologies\/nps\/nps-top\" target=\"_blank\" rel=\"noopener\">Network Policy Server (NPS)<\/a>, <a href=\"https:\/\/docs.microsoft.com\/en-us\/previous-versions\/windows\/it-pro\/windows-server-2012-R2-and-2012\/dn614140(v=ws.11)\" target=\"_blank\" rel=\"noopener\">Routing and Remote access Service (RRAS)<\/a>, <a href=\"https:\/\/docs.microsoft.com\/en-us\/windows\/win32\/nps\/ias-radius-authentication-and-accounting\" target=\"_blank\" rel=\"noopener\">Radius<\/a>, <a href=\"https:\/\/docs.microsoft.com\/en-us\/windows-server\/networking\/technologies\/extensible-authentication-protocol\/network-access\" target=\"_blank\" rel=\"noopener\">Extensible Authentication Protocol (EAP)<\/a>, and <a href=\"https:\/\/docs.microsoft.com\/en-us\/openspecs\/windows_protocols\/ms-peap\/a128a089-0919-41a5-a0c2-9f25ef28289d\" target=\"_blank\" rel=\"noopener\">Protected Extensible Authentication Protocol (PEAP)<\/a>. An issue has been found related to how the mapping of certificates to machine accounts is being handled by the domain controller.<\/p>\n<p><strong>Note: <\/strong>Installation of updates released May 10, 2022, on client Windows devices and non-domain controller Windows Servers will not cause this issue. This issue only affects installation of May 10, 2022, updates installed on servers used as domain controllers.<\/p><\/blockquote>\n<p>Es wird also genau die Authentifizierungsproblematik mit Domain Controllern (ADs) und ADSC-Rollen best\u00e4tigt, die weiter oben angesprochen wurde. Betroffen sind von den Clients folgende Windows-Versionen<\/p>\n<ul>\n<li>Windows 11 Version 21H2<\/li>\n<li>Windows 10 Version 21H2, 21H1; 20H2<\/li>\n<li>Windows 10 Version 1909; Enterprise LTSC 2019<\/li>\n<li>Windows 10 Version 1809<\/li>\n<li>Windows 10 Version 1607; Enterprise LTSC 2016<\/li>\n<li>Windows 10 Enterprise 2015 LTSB<\/li>\n<li>Windows 8.1<\/li>\n<li>Windows 7 SP1<\/li>\n<\/ul>\n<p>und von den Servern folgende Varianten:<\/p>\n<ul>\n<li>Windows Server 2022<\/li>\n<li>Windows Server Version 20H2<\/li>\n<li>Windows Server Version 1909; Windows Server 2019<\/li>\n<li>Windows Server Version 1809<\/li>\n<li>Windows Server 2016<\/li>\n<li>Windows Server 2012 R2<\/li>\n<li>Windows Server 2012<\/li>\n<li>Windows Server 2008 R2 SP1<\/li>\n<li>Windows Server 2008 SP2<\/li>\n<\/ul>\n<p><strong> Erg\u00e4nzung:<\/strong> Im Artikel <a href=\"https:\/\/borncity.com\/blog\/2022\/05\/15\/microsoft-fixt-petitpotam-ntlm-relay-schwachstelle-cve-2022-26925-mit-windows-mai-2022-update\/\">Microsoft fixt (PetitPotam) NTLM Relay-Schwachstelle (CVE-2022-26925) mit Windows Mai 2022-Update<\/a> habe ich die Mai 2022-Updates aufgelistet.\u00a0Microsoft untersucht das Problem derzeit und plant, in einer der n\u00e4chsten Versionen ein Update zur Verf\u00fcgung zu stellen. Bis dahin schl\u00e4gt Microsoft folgendes als Workaround vor:<\/p>\n<blockquote><p><strong>Workaround:<\/strong> The preferred mitigation for this issue is to manually map certificates to a machine account in Active Directory. For instructions, please see <a href=\"https:\/\/support.microsoft.com\/topic\/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16#bkmk_certmap\" target=\"_blank\" rel=\"noopener\">Certificate Mapping<\/a>.<\/p><\/blockquote>\n<p>Also die manuelle Zuordnung von Zertifikaten zu einem Maschinenkonto im Active Directory. Die Anweisungen sind die gleichen f\u00fcr die Zuordnung von Zertifikaten zu Benutzer- oder Maschinenkonten in Active Directory. Wenn die bevorzugte Abhilfema\u00dfnahme in Ihrer Umgebung nicht funktioniert, finden sich unter <a href=\"https:\/\/support.microsoft.com\/topic\/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16\" target=\"_blank\" rel=\"noopener\">KB5014754\u2014Certificate-based authentication changes on Windows domain controllers<\/a> weitere m\u00f6gliche Abhilfema\u00dfnahmen im Abschnitt SChannel-Registrierungsschl\u00fcssel. Andere Workarounds wie die Deinstallation des Updates werden von Microsoft, wegen der Sicherheitsproblematik, nicht empfohlen.<\/p>\n<p><strong>Erg\u00e4nzung 2:<\/strong> Es gibt ein Sonderupdate vom 19. Mai 2022, was das Problem patchen soll &#8211; siehe <a href=\"https:\/\/borncity.com\/blog\/2022\/05\/20\/windows-out-of-band-updates-19-5-2022-fixen-ad-authentifizierungsfehler-und-store-installationsfehler\/\">Windows Out-of-Band-Updates (19.5.2022) fixen AD-Authentifizierungsfehler und Store-Installationsfehler<\/a>.<\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/>\n<\/strong><a href=\"https:\/\/borncity.com\/blog\/2022\/05\/05\/microsoft-office-updates-3-mai-2022\/\">Microsoft Office Updates (3. Mai 2022)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/05\/10\/microsoft-security-update-summary-10-mai-2022\/\">Microsoft Security Update Summary (10. Mai 2022)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/05\/11\/patchday-windows-10-updates-10-mai-2022\/\">Patchday: Windows 10-Updates (10. Mai 2022)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/05\/11\/patchday-windows-11-server-2022-updates-10-mai-2022\/\">Patchday: Windows 11\/Server 2022-Updates (10. Mai 2022)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/05\/11\/windows-7-server-2008r2-windows-8-1-server-2012r2-updates-10-mai-2022\/\">Windows 7\/Server 2008R2; Windows 8.1\/Server 2012R2: Updates (10. Mai 2022)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/05\/12\/patchday-microsoft-office-updates-10-mai-2022\/\">Patchday: Microsoft Office Updates (10. Mai 2022)<\/a><\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2022\/05\/10\/exchange-server-sicherheitsupdates-10-mai-2022\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Exchange Server Sicherheitsupdates (10. Mai 2022)<\/a><\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2022\/04\/15\/patchday-nachlese-probleme-mit-april-2022-updates\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Patchday-Nachlese: Probleme mit April 2022-Updates<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/03\/09\/windows-server-2022-mrz-2022-update-kb5011497-verursacht-probleme-mit-remote-verbindungen\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Windows Server 2022: M\u00e4rz 2022-Update KB5011497 verursacht Probleme mit Remote-Desktop-Rollen\/-Verbindungen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/03\/18\/windows-server-2022-lsung-fr-remote-desktop-probleme-mit-update-kb5011497\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Windows Server 2022: L\u00f6sung f\u00fcr Remote Desktop-Probleme mit Update KB5011497<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/05\/10\/windows-server-2022-wie-ist-der-status-beim-rds-bug-rdcb-rolle-verursacht-durch-kb5011497\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Windows Server 2022: Wie ist der Status beim RDS-Bug (RDCB-Rolle), verursacht durch KB5011497?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/05\/09\/windows-update-kb5012599-fix-fr-installationsfehler-0x8024200b-und-0x800f0831-kommt\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Windows Update KB5012599: Fix f\u00fcr Installationsfehler 0x8024200B und 0x800F0831 kommt<\/a><\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2022\/05\/12\/windows-mai-2022-updates-verursachen-ad-authentifizierungsfehler-server-client\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Windows Mai 2022-Updates verursachen AD-Authentifizierungsfehler (Server, Client)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/05\/17\/cisa-warnt-vor-installation-der-mai-2022-updates-auf-windows-domain-controllern\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">CISA warnt vor Installation der Mai 2022-Updates auf Windows Domain Controllern<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/05\/20\/windows-out-of-band-updates-19-5-2022-fixen-ad-authentifizierungsfehler-und-store-installationsfehler\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Windows Out-of-Band-Updates (19.5.2022) fixen AD-Authentifizierungsfehler und Store-Installationsfehler<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Die Sicherheitsupdates vom 10. Mai 2022 f\u00fcr Windows f\u00fchren zu diversen Problemen. Eines betrifft die Authentifizierung auf Domain Controllern. Diese scheint f\u00fcr verschiedene Maschinen (Client und Server) wegen Zertifikatsfehlern zu scheitern. Betroffen sind alle Clients, von Windows 7 SP1 (mit &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/05\/12\/windows-mai-2022-updates-verursachen-ad-authentifizierungsfehler-server-client\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7862,301,3694,2557],"tags":[8324,987,4315,3288],"class_list":["post-265292","post","type-post","status-publish","format-standard","hentry","category-stoerung","category-windows","category-windows-10","category-windows-server","tag-patchday-5-2022","tag-storung","tag-update","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265292","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=265292"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265292\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=265292"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=265292"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=265292"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}