{"id":265427,"date":"2022-05-18T08:12:17","date_gmt":"2022-05-18T06:12:17","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=265427"},"modified":"2022-05-18T10:02:12","modified_gmt":"2022-05-18T08:02:12","slug":"active-directory-admins-mai-2022-updates-knnen-bei-dcs-zur-boot-schleife-fhren-gesetztes-altsecid-attribut-bei-krbtgt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/05\/18\/active-directory-admins-mai-2022-updates-knnen-bei-dcs-zur-boot-schleife-fhren-gesetztes-altsecid-attribut-bei-krbtgt\/","title":{"rendered":"Active Directory-Admins: Mai 2022-Updates können bei DCs zur Boot-Schleife führen (gesetztes AltSecID-Attribut bei krbtgt)"},"content":{"rendered":"

\"Windows\"[English<\/a>]Heute noch eine kurze Information f\u00fcr Administratoren von Active Directory Domain Controllern unter Windows Server, die die Sicherheitsupdates f\u00fcr Mai 2022 noch einspielen m\u00fcssen. Mir ist die Information untergekommen, dass es einen Bug gibt, der in bestimmten Konfigurationen (die eigentlich nicht vorkommen sollten) zu b\u00f6sen Problemen im Windows Server f\u00fchrt. Administratoren sollten vor der Update-Installation auf die Konfigurierung des AltSecID<\/em>-Attributs beim krbtgt<\/em>-Konto achten. Ist dieses Attribut gesetzt, droht eine Boot-Schleife des DC und das Active Directory ist down. Ich stelle mal die Informationen, die ich gestern von einem Windows Escalation Engineer und inzwischen auf Twitter aufgeschnappt habe, hier ein.<\/p>\n

<\/p>\n

\"\"Im Mai 2022 h\u00e4lt Microsoft die Administratoren von Windows Servern, die als Domain Controller zur Verwaltung des Active Directory fungieren, in Atem. Erst gab es auf Systemen, die bestimmte Konstellationen nutzten, AD-Authentifizierungsfehler. Ich hatte im Blog-Beitrag Windows Mai 2022-Updates verursachen AD-Authentifizierungsfehler (Server, Client)<\/a> berichtet. Letzter Stand war, dass die US-Beh\u00f6rde CISA vor der Installation der Mai 2022-Updates auf Windows Domain Controllern warnte (siehe CISA warnt vor Installation der Mai 2022-Updates auf Windows Domain Controllern<\/a>). Und jetzt ist mir ein neues Problem in diesem Bereich unter die Augen gekommen.<\/p>\n

Ein Tweet, ein Bug, ein Problem<\/h2>\n

Es war nur ein f\u00fcr mich kryptischer Tweet<\/a>, der mir am sp\u00e4ten gestrigen Abend unterkam – da ich auf Nachfrage kein \"Stopp-Signal\" erhalten habe, stelle ich die Informationen mal bestm\u00f6glich hier im Blog ein.<\/p>\n

\"Bug<\/a><\/p>\n

Die Botschaft: Administratoren, die ein Active Directory verwalten, sollten sich vor Installation der Mai 2022-Updates vergewissern, dass das AltSecID<\/em>-Attribut des krbtgt<\/em>-Kontos nicht ausgef\u00fcllt ist. Es g\u00e4be einen Bug, der zu b\u00f6sen Problemen (Absturz) f\u00fchre. Abgesetzt wurde der Tweet von Ryan Ries, Windows Escalation Engineer bei Microsoft.<\/p>\n

Crash des LSASS beim Boot des Servers<\/h3>\n

Leider f\u00fchrt Ryan Ries keine weiteren Details aus, und hat auf Nachfrage bisher auch nichts erg\u00e4nzt. Aber im Rahmen der Diskussion auf Twitter hat sich Steve Syfuhs<\/em> von Microsoft mit folgendem Hinweis gemeldet<\/a>.<\/p>\n

\"LSASS<\/a><\/p>\n

Er schreibt: Falls das krbtgt<\/em>-Konto ein gesetztes AltSecID<\/em>-Attribut besitzt, w\u00fcrde LSASS (Local Security Authority Subsystem Service) des betreffenden Servers bei installiertem Mai 2022-Sicherheitsupdate abst\u00fcrzen. Weitere Details werden nicht gegeben – aber Will Dormann hat es per Screenshot dokumentiert, siehe folgenden Tweet<\/a>.<\/p>\n

\"LSASS<\/a><\/p>\n

Die Kombination, die zu diesem Problem f\u00fchrt, sollte eigentlich nicht vorkommen – es gibt sie aber. Falls wer betroffen ist, wie kommt er da wieder raus? Dazu schreibt ein weiterer Nutzer:<\/p>\n

If you updated all DCs you're down until Microsoft gets to your case. If you have any DCs that aren't updated just offline the problem ones until there's a fix. If you've never done a rollback of a DC, don't try it. It's been 5 years since my last one and I still have nightmares.<\/p><\/blockquote>\n

In kurz: Wer alle Domain Controller auf dem Mai 2022 Patchstand aktualisiert hat, und betroffen ist, dessen Active Directory ist wohl \"down\". Der Kunde muss warten, bis sein Case bei Microsoft abgearbeitet wird. Ryan Ries empfiehlt Betroffenen, die in diese Falle gelaufen sind, einen Fall bei Microsoft zu \u00f6ffnen und auf Support zu warten. Wer noch nicht alle DCs aktualisiert hat, soll warten, bis das Problem gefixt ist.<\/p>\n

\"DC<\/p>\n

 <\/p>\n

Das KRBTGT-Konto und das AltSecID-Attribut<\/h3>\n

Bei KRBTGT handelt es sich um ein Dienste-Konto, das f\u00fcr die Microsoft-Implementierung von Kerberos, dem Standard-Authentifizierungsprotokoll von Microsoft Windows, verwendet wird. KRB steht f\u00fcr Kerberos und TGT f\u00fcr Ticket Granting Ticket (siehe<\/a>). Beim Aufsetzen einer Domain wird das KRBTGT-Konto mit einem Passwort versehen. Kurz zusammengefasst (siehe<\/a>):<\/p>\n