{"id":265556,"date":"2022-05-21T06:25:06","date_gmt":"2022-05-21T04:25:06","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=265556"},"modified":"2022-05-21T21:10:12","modified_gmt":"2022-05-21T19:10:12","slug":"windows-out-of-band-updates-vom-19-5-2022-versagen-mit-nps-beim-ad-dc-authentifizierungsfehler","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/05\/21\/windows-out-of-band-updates-vom-19-5-2022-versagen-mit-nps-beim-ad-dc-authentifizierungsfehler\/","title":{"rendered":"Windows Out-of-Band-Updates vom 19.5.2022 versagen mit NPS beim AD DC-Authentifizierungsfehler"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Windows\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" alt=\"Windows\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2022\/05\/21\/windows-out-of-band-updates-vom-19-5-2022-versagen-mit-nps-beim-ad-dc-authentifizierungsfehler\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Von Microsoft wurden zum 19. Mai 2022 au\u00dferplanm\u00e4\u00dfiger Updates (out-of-band Updates) f\u00fcr unterst\u00fctzte Windows Server-Versionen freigegeben, die durch die Sicherheitsupdates vom 10. Mai 2022 verursachte Probleme beheben sollen. Dazu geh\u00f6rt auch die Beseitigung des Active Directory Authentifizierungsproblem auf Domain Controllern. Inzwischen liegen mir aber mehrere Meldungen vor, dass der Fix zumindest in bestimmten Konstellationen mit NPS (Network Policy Server) nicht hilft. <strong>Erg\u00e4nzung:<\/strong> Es gibt einen Hinweis von Susan Bradley, was bei der Reihenfolge zur Vorgehensweise zu beachten ist, den ich im Artikel nachgetragen habe.<\/p>\n<p><!--more--><\/p>\n<h2>Out-of-Band-Updates vom 19. Mai 2022<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/b6456166167442f192664b9729514e9f\" alt=\"\" width=\"1\" height=\"1\" \/>Mit den Sicherheitsupdates vom 10. Mai 2022 versuchte Microsoft diverse Schwachstellen zu schlie\u00dfen. Allerdings versagten die Sicherheitsupdates auf Windows Server, die als Active Directory Domain Controller fungierten, da dort Authentifizierungsprobleme auftauchten. Ich hatte im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2022\/05\/12\/windows-mai-2022-updates-verursachen-ad-authentifizierungsfehler-server-client\/\">Windows Mai 2022-Updates verursachen AD-Authentifizierungsfehler (Server, Client)<\/a> dar\u00fcber berichtet. Die Kollateralsch\u00e4den durch den Mai 2022-Patchday waren so hoch, dass die US-Beh\u00f6rde CISA vor deren Installation warnte (siehe <a href=\"https:\/\/borncity.com\/blog\/2022\/05\/17\/cisa-warnt-vor-installation-der-mai-2022-updates-auf-windows-domain-controllern\/\">CISA warnt vor Installation der Mai 2022-Updates auf Windows Domain Controllern<\/a>). Microsoft hat daher nachfolgende au\u00dferplanm\u00e4\u00dfig Updates (out-of-band Updates) ver\u00f6ffentlicht, und im Windows Healt-Statusbereich im <em>Know Issues<\/em>-Abschnitt in <a href=\"https:\/\/docs.microsoft.com\/en-us\/windows\/release-health\/resolved-issues-windows-11-21h2#2826msgdesc\" target=\"_blank\" rel=\"noopener\">diesem Eintrag<\/a> aufgelistet:<\/p>\n<ul>\n<li>\u200b<a href=\"https:\/\/support.microsoft.com\/help\/5015013\" target=\"_blank\" rel=\"noopener\">KB5015013<\/a>: Windows Server 2022<\/li>\n<li>\u200b<a href=\"https:\/\/support.microsoft.com\/help\/5015020\" target=\"_blank\" rel=\"noopener\">KB5015020<\/a>: Windows Server Version 20H2<\/li>\n<li><a href=\"https:\/\/support.microsoft.com\/help\/5015018\" target=\"_blank\" rel=\"noopener\">KB5015018<\/a>: \u200bWindows Server 2019<\/li>\n<li><a href=\"https:\/\/support.microsoft.com\/help\/5015019\" target=\"_blank\" rel=\"noopener\">KB5015019<\/a>: \u200bWindows Server 2016<\/li>\n<\/ul>\n<p>sowie die nachfolgenden Standalone-Updates:<\/p>\n<ul>\n<li><a href=\"https:\/\/support.microsoft.com\/help\/5014986\" target=\"_blank\" rel=\"noopener\">KB5014986<\/a>: \u200bWindows Server 2012 R2<\/li>\n<li>\u200b<a href=\"https:\/\/support.microsoft.com\/help\/5014991\" target=\"_blank\" rel=\"noopener\">KB5014991<\/a>: Windows Server 2012<\/li>\n<li><a href=\"https:\/\/support.microsoft.com\/help\/5014987\" target=\"_blank\" rel=\"noopener\">KB5014987<\/a>: \u200bWindows Server 2008 R2 SP1<\/li>\n<li>\u200b<a href=\"https:\/\/support.microsoft.com\/help\/5014990\" target=\"_blank\" rel=\"noopener\">KB5014990<\/a>: Windows Server 2008 SP2<\/li>\n<\/ul>\n<p>Zweck dieser Updates war auch, ein bekanntes Problem zu beheben, das einige Dienste daran hindern kann, Maschinenkonten auf Clients oder Servern zu authentifizieren. Dieses Problem tritt nach der Installation der Sicherheits-Update vom 10. Mai 2022 auf Dom\u00e4nencontrollern auf. Ich hatte das Update und weitere Details im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2022\/05\/20\/windows-out-of-band-updates-19-5-2022-fixen-ad-authentifizierungsfehler-und-store-installationsfehler\/\">Windows Out-of-Band-Updates (19.5.2022) fixen AD-Authentifizierungsfehler und Store-Installationsfehler<\/a> erw\u00e4hnt.<\/p>\n<h2>Updates helfen bei NPS nicht<\/h2>\n<p>Inzwischen haben Betroffene die au\u00dferplanm\u00e4\u00dfigen Updates auf ihren Windows Servern, die als Active Directory Domain Controller fungieren installiert. Dabei ist mir aufgefallen, dass es auff\u00e4llig oft die R\u00fcckmeldung gab, dass die Out-of-Band-Updates am Zertifikatefehler nichts \u00e4ndern. Blog-Leser Andreas schreibt in <a href=\"https:\/\/borncity.com\/blog\/2022\/05\/20\/windows-out-of-band-updates-19-5-2022-fixen-ad-authentifizierungsfehler-und-store-installationsfehler\/#comment-125996\">diesem Kommentar<\/a>:<\/p>\n<blockquote><p>Bei uns hilft es nicht.<\/p>\n<p>Das Mai Update ist drauf und nun auch noch der KB5015018 f\u00fcr \u200bWindows Server 2019.<br \/>\nAber weiterhin kommen die RADIUS Clients nicht am NPS vorbei und damit ins WLAN.<\/p>\n<p>Extrem \u00e4rgerlich, hier stehen 700 iPads vor dem NPS und wollen rein gelassen werden\u2026<br \/>\nDas neueste SSU Update ist auch installiert.<\/p><\/blockquote>\n<p>Nachdem Andreas das beide Updates (KB5013941 und KB5015018) wieder deinstalliert hat, k\u00f6nnen sich alle Clients erneut mit dem RADIUS WLAN verbinden. Das Problem wird von <cite>MOM20xx <\/cite>in <a href=\"https:\/\/borncity.com\/blog\/2022\/05\/20\/windows-out-of-band-updates-19-5-2022-fixen-ad-authentifizierungsfehler-und-store-installationsfehler\/#comment-126010\">diesem Kommentar<\/a> best\u00e4tigt:<\/p>\n<blockquote><p>Kann ich best\u00e4tigen. Notebooks kommen nach einspielen des Patches weiterhin nicht in Netzwerk mit 802.1x. Fehler wie vor dem Update. Dabei wird keiner der erw\u00e4hnten EventIDs 39-41 gelogged. Wir haben zwar eventid 39 im Logs aber f\u00fcr Mobiles, die bei uns reinkommen, aber eine andere Radius konfiguration haben.<\/p>\n<p>Und auch hier weiterhin die Event Source Kerberos-Key-Distribution-Center und nicht wie unter <a href=\"https:\/\/support.microsoft.com\/en-us\/topic\/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16\" target=\"_blank\" rel=\"noopener\">KB5014754\u2014Certificate-based authentication changes on Windows domain controllers<\/a> beschrieben <em>kdcsvc<\/em><\/p>\n<p>Selbst neue Zertifikate mit der erw\u00e4hnten Erweiterung, wo die SID vermerkt ist werden nicht akzeptiert. Erst wenn das Zertifikat einen UPN zus\u00e4tzlich hat, funktioniert 802.1x wieder. Oder sollte man den Patch vielleicht auch am NPS Server einspielen?<\/p>\n<ul>\n<li>ohne UPN im Zertifikat gibts Auth Failure mit EventID 4768 und Result Code 0x6, was soviel bedeutet wie das Ger\u00e4t nicht in der KerberosDB gefunden.<\/li>\n<\/ul>\n<\/blockquote>\n<p>Ein weiterer Nutzer <a href=\"https:\/\/borncity.com\/blog\/2022\/05\/20\/windows-out-of-band-updates-19-5-2022-fixen-ad-authentifizierungsfehler-und-store-installationsfehler\/#comment-126017\" target=\"_blank\" rel=\"noopener\">best\u00e4tigt<\/a>: <em>In unserer Umgebung (802.1x mit NPS) hat das einspielen von KB5018018 das Problem ebenfalls nicht behoben. NPS denied weiterhin den Zugriff f\u00fcr Computer. <\/em>Auch im englischsprachigen Blog gibt es <a href=\"https:\/\/borncity.com\/win\/2022\/05\/20\/windows-out-of-band-updates-19-5-2022-fixen-ad-authentifizierungsfehler-und-store-installationsfehler\/#comment-14853\" target=\"_blank\" rel=\"noopener\">diesen Kommentar<\/a> zum Thema:<\/p>\n<blockquote><p>I can also confirm that KB5015018 also breaks NPS Radius EAP-TLS device authentication.<\/p><\/blockquote>\n<p>Das Update <a href=\"https:\/\/support.microsoft.com\/help\/5015018\" target=\"_blank\" rel=\"noopener\">KB5015018<\/a> bezieht sich auf Windows Server 2019. Stefan A. fragt <a href=\"https:\/\/borncity.com\/blog\/2022\/05\/20\/windows-out-of-band-updates-19-5-2022-fixen-ad-authentifizierungsfehler-und-store-installationsfehler\/#comment-126034\" target=\"_blank\" rel=\"noopener\">hier<\/a>, ob es jemanden gibt, bei dem das Out-of-Band-Update das Problem mit NPS und Computerzertifikaten \u00fcberhaupt l\u00f6sen konnte. Bisher hat sich diesbez\u00fcglich noch kein Administrator gemeldet.<\/p>\n<h3>Was zu beachten ist und helfen k\u00f6nnte<\/h3>\n<p>Ich hatte auf askwoody.com im Forum auf die Probleme hingewiesen. Susan Bradley hat darauf hin <a href=\"https:\/\/www.askwoody.com\/forums\/topic\/master-patch-list-as-of-may-19-2022-out-of-band-for-server-auth-issues\/#post-2448058\" target=\"_blank\" rel=\"noopener\">diesen Kommentar<\/a> auf askwoody.com zu meinem Post nachgeschoben (danke daf\u00fcr) und weist auf bestimmte Schritte hin, die einzuhalten sind, um erfolgreich zu sein.<\/p>\n<p><strong>Wichtig:<\/strong> Diejenigen, die eine PKI (Public Key Infrastruktur) verwenden, m\u00fcssen zuerst ihre Zertifikate (CAs) aktualisieren. Der Patch f\u00fcgt einen neuen OID (Objekt-Identifier) zu allen Vorlagen hinzu, die f\u00fcr die Authentifizierung verwendet werden. Dazu schreibt Susan:<\/p>\n<blockquote><p>Diese OID wird durch die SID des AD-Objekts erg\u00e4nzt, um das spezifische Ger\u00e4t im Zertifikat weiter zu identifizieren.<\/p>\n<p>Sobald die Zertifizierungsstellen aktualisiert sind und die OID in Ihrem anf\u00e4nglichen Testzertifikat f\u00fcr einen PC vorhanden ist, k\u00f6nnen Administratoren \u00e4ltere Zertifikate ohne die OID widerrufen und \u00fcber die automatische Registrierung neue Zertifikate ausstellen.<\/p><\/blockquote>\n<p>Sobald diese Schritte abgearbeitet und die Zertifikate erneuert wurden, \u00a0ist es sicher, die Domain Controller (DCs) zu patchen. Die Authentifizierung wird dann wie gewohnt fortgesetzt, da die DCs nach dem Patching die neue OID als Identifikator verstehen. Inzwischen gibt es auf administrator.de <a href=\"https:\/\/administrator.de\/content\/detail.php?id=2849511630\" target=\"_blank\" rel=\"noopener\">diesen Thread<\/a> zum Problem. Vielleicht hilft das Betroffenen weiter. Falls jemand das erfolgreich getestet hat, kann er ja eine R\u00fcckmeldung hinterlassen &#8211; danke.<\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/>\n<\/strong><a href=\"https:\/\/borncity.com\/blog\/2022\/05\/11\/patchday-windows-10-updates-10-mai-2022\/\">Patchday: Windows 10-Updates (10. Mai 2022)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/05\/11\/patchday-windows-11-server-2022-updates-10-mai-2022\/\">Patchday: Windows 11\/Server 2022-Updates (10. Mai 2022)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/05\/11\/windows-7-server-2008r2-windows-8-1-server-2012r2-updates-10-mai-2022\/\">Windows 7\/Server 2008R2; Windows 8.1\/Server 2012R2: Updates (10. Mai 2022)<\/a><\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2022\/05\/15\/microsoft-fixt-petitpotam-ntlm-relay-schwachstelle-cve-2022-26925-mit-windows-mai-2022-update\/\">Microsoft fixt (PetitPotam) NTLM Relay-Schwachstelle (CVE-2022-26925) mit Windows Mai 2022-Update<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/05\/11\/windows-office-mai-2022-patchday-probleme-und-besonderheiten\/\">Windows, Office: Mai 2022 Patchday-Probleme und Besonderheiten<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/05\/11\/windows-11-update-kb5013943-erzeugt-fehler-0xc0000135\/\">Windows 11: Update KB5013943 erzeugt Fehler 0xc0000135<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/05\/13\/windows-11-update-kb5013943-verursacht-probleme-mit-datev-0xc0000135\/\">Windows 11 Update KB5013943 verursacht Probleme mit DATEV (0xc0000135)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/05\/12\/windows-mai-2022-updates-verursachen-ad-authentifizierungsfehler-server-client\/\">Windows Mai 2022-Updates verursachen AD-Authentifizierungsfehler (Server, Client)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/05\/17\/cisa-warnt-vor-installation-der-mai-2022-updates-auf-windows-domain-controllern\/\">CISA warnt vor Installation der Mai 2022-Updates auf Windows Domain Controllern<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/05\/18\/active-directory-admins-mai-2022-updates-knnen-bei-dcs-zur-boot-schleife-fhren-gesetztes-altsecid-attribut-bei-krbtgt\/\">Active Directory-Admins: Mai 2022-Updates k\u00f6nnen bei DCs zur Boot-Schleife f\u00fchren (gesetztes AltSecID-Attribut bei krbtgt)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/05\/20\/windows-out-of-band-updates-19-5-2022-fixen-ad-authentifizierungsfehler-und-store-installationsfehler\/\">Windows Out-of-Band-Updates (19.5.2022) fixen AD-Authentifizierungsfehler und Store-Installationsfehler<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Von Microsoft wurden zum 19. Mai 2022 au\u00dferplanm\u00e4\u00dfiger Updates (out-of-band Updates) f\u00fcr unterst\u00fctzte Windows Server-Versionen freigegeben, die durch die Sicherheitsupdates vom 10. Mai 2022 verursachte Probleme beheben sollen. Dazu geh\u00f6rt auch die Beseitigung des Active Directory Authentifizierungsproblem auf Domain Controllern. &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/05\/21\/windows-out-of-band-updates-vom-19-5-2022-versagen-mit-nps-beim-ad-dc-authentifizierungsfehler\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[185,2557],"tags":[24,4315,4364],"class_list":["post-265556","post","type-post","status-publish","format-standard","hentry","category-update","category-windows-server","tag-problem","tag-update","tag-windows-server"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265556","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=265556"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265556\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=265556"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=265556"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=265556"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}