{"id":281126,"date":"2023-05-15T11:12:32","date_gmt":"2023-05-15T09:12:32","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=281126"},"modified":"2024-01-05T10:23:28","modified_gmt":"2024-01-05T09:23:28","slug":"print-nightmare-nachwehen-bei-windows-domain-controllern-langsame-print-server-und-ausgebremste-dcs","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/05\/15\/print-nightmare-nachwehen-bei-windows-domain-controllern-langsame-print-server-und-ausgebremste-dcs\/","title":{"rendered":"Print Nightmare-Nachwehen bei Windows Domain Controllern (langsame Print-Server und ausgebremste DCs)"},"content":{"rendered":"

\"Windows\"[English]Im Jahr 2021 wurden durch Microsoft einige Schwachstellen im Bereich des Drucker-Spoolers geschlossen. Die Sicherheitsupdates sowie die damit einhergehenden Druckerprobleme sind unter dem Begriff \"Print Nightmare\" bekannt. In Folge sieht es so aus, dass da in Windows Domains einige unerkannte Probleme schlummern. Print-Server schicken kontinuierlich fehlerhafte Kerberos-Anfragen an den Domain Controller (DC). Das kann zur Verlangsamung der Druckausgaben f\u00fchren und ggf. sogar den DC ausbremsen. <\/p>\n

<\/p>\n

Ein Leserhinweis auf das Problem<\/h2>\n

\"\"Blog-Leser Patrick G. hat mich heute per E-Mail auf ein Problem hingewiesen, welches m\u00f6glicherweise in einem Windows-Server-Umgebungen existiert und sich auf Print-Server und Domain Controller auswirkt. Patrick schrieb:<\/p>\n

\n

Sehr geehrter Herr Born, <\/p>\n

ich bin heute durch Zufall auf diesen Beitrag von Microsoft<\/a> gesto\u00dfen, der eventuell ganz interessant f\u00fcr andere Admins (also ihren Blog) w\u00e4re. War leider selbst \u201eOpfer\" dieses Bugs. <\/p>\n

Geht darum, dass Printserver massenhaft falsche Kerberos-Anfragen an den DC schicken und in weiterer Folge auf NTLM zur\u00fcckgreifen. Dies kann zu langsamen Drucken bis hin zu langsamen DCs f\u00fchren. <\/p>\n

Abhilfe ist eigentlich ganz einfach durch das Setzen eines einzigen Regkeys (der vermutlich auch bald als GPO-Setting verf\u00fcgbar sein wird).<\/p>\n<\/blockquote>\n

Das Thema ist an mir vorbei gegangen – von daher mein Dank an Patrik f\u00fcr den Hinweis. <\/p>\n

Print Nightmare-Nachwehen bei DCs<\/h2>\n<\/p>\n

am 6. Juli 2021 wurde eine Schwachstelle im Windows Druckdienst durch ein Sicherheitsupdate geschlossen. Die Schwachstelle wurde dann unter dem Begriff \"Print Nightmare\" bekannt, weil mehrere Patches erforderlich waren, um die Sicherheit wiederherzustellen. Und Administratoren wurden nach der Installation von Sicherheitsupdates unter Windows durch Druckprobleme in Atem gehalten. Die sich \u00fcber Monate hinziehenden Probleme sind unter dem Begriff \"Print Nightmare\" bekannt. Die Artikellinks am Ende des Beitrags zeigen das damalige Desaster auf. Die meisten Administratoren d\u00fcrften froh sein, wenn die Print-Server wieder problemlos funktionieren. <\/p>\n

Allerdings scheint das Patchen durch Microsoft noch Kollateralsch\u00e4den in Windows Domains hinterlassen zu haben. Das Directory Services-Team weist im Techcommunity-Beitrag A Print Nightmare Artifact – krbtgt\/NT Authority<\/a> (vom M\u00e4rz 2023) auf einen Kollateralschaden hin. Dem Team ist h\u00e4ufiger das Problem untergekommen, weil Print-Server fehlerhafte Kerberos-Anfragen an den Domain Controller schicken. <\/p>\n

Dann treten Symptome wie langsame oder tr\u00e4ge Domain Controller (DCs), langsame oder tr\u00e4ge Druckerserver (Print-Server) auf. Die Client werden beim Drucken verlangsamt, weil sie keine Verbindung zu Druckwarteschlangen herstellen k\u00f6nnen und \u00c4hnliches. Das Team schreibt, dass diese Leistungsprobleme lange Zeit nicht auffallen, bis sie sich (nach erreichen eines Schwellenwerts) pl\u00f6tzlich manifestieren. <\/p>\n

Registrierungseintrag schafft Abhilfe<\/h2>\n

Nach Analyse auftretender F\u00e4lle wurden die fehlerhaften Kerberos-Authentifizierungsanfragen an den Domain Controller als Ursache identifiziert. Im Techcommunity-Beitrag skizziert das Team, wie sich dieses Probleme aufsp\u00fcren l\u00e4sst. Lassen sich die Leistungsprobleme bei Print-Servern und Domain Controllern auf diese Ursache zur\u00fcckf\u00fchren, gibt es eine einfache L\u00f6sung. Hierzu ist auf den Clients der Registrierungseditor \u00fcber Als Administrator ausf\u00fchren <\/em>aufzurufen und zu folgendem Registrierungsschl\u00fcssel zu navigieren:<\/p>\n

HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows NT\\Printers\\RPC<\/pre>\n<\/p>\n
Dort ist der 32-Bit-DWORD-Wert RpcNamedPipeAuthentication<\/em> auf 2 zu setzen. Der Registrierungswert steuert am Client, ob dieser bei RPC over NamedPipes<\/em>-Aufrufen Authentifizierungsinformationen an den entfernten Rechner sendet. Mit dem obigen Registrierungseingriff werden nach meiner Lesart die fehlerhaften Kerberos Authentifizierungsanfragen vom Client an den Domain Controller unterbunden. Der entfernte Rechner kann dann den eingehenden RPC-Aufruf ohne die Authentifizierungsinformationen zur\u00fcckweisen, was aber nicht zu einer Sicherheitsl\u00fccke f\u00fchrt, schreibt das Team. Weitere Details entnehmt ihr dem Techcommunity-Beitrag A Print Nightmare Artifact – krbtgt\/NT Authority<\/a>.<\/p>\n
\n
Auf reddit.com gibt es \u00fcbrigens diese Diskussion<\/a> aus 2021\/2022, wo das Problem bereits angerissen wurde.  <\/p>\n<\/blockquote>\n
\u00c4hnliche Artikel<\/strong>
PoC f\u00fcr Windows Print-Spooler-Schwachstelle \u00f6ffentlich, hohes RCE-Risiko<\/a>
Windows Print-Spooler Schwachstelle (CVE-2021-1675, PrintNightmare) von MS best\u00e4tigt; CISA warnt<\/a>
Nachlese: Das Chaos-PrintNightmare-Notfall-Update (6.\/7.Juli 2021)<\/a>
Notfall-Update schlie\u00dft PrintNightmare-Schwachstelle in Windows (6. Juli 2021)<\/a>
PrintNightmare-Notfall-Update auch f\u00fcr Windows Server 2012 und 2016 (7. Juli 2021)<\/a>
Microsoft zur PrintNightmare-Schwachstelle CVE-2021-34527: Windows ist nach Patch sicher<\/a>
Windows-Schwachstelle PrintNightmare: Es ist noch nicht vorbei (15. Juli 2021)<\/a>
PrintNightmare: Point-and-Print erlaubt die Installation beliebiger Dateien<\/a>
Microsoft Defender for Identity kann PrintNightmare-Angriffe erkennen<\/a>
0Patch Micropatches f\u00fcr PrintNightmare-Schwachstelle (CVE-2021-34527)<\/a>
0patch-Fix f\u00fcr neue Windows PrintNightmare 0-day-Schwachstelle (5. Aug. 2021)<\/a>
Windows PrintNightmare, neue Runde mit CVE-2021-36958<\/a>
Ransomware-Gang nutzt PrintNightmare f\u00fcr Angriffe auf Windows Server<\/a>
Vice Society: 2. Ransomware-Gang nutzt Windows PrintNightmare-Schwachstelle f\u00fcr Angriffe<\/a>
Microsofts macht bei PrintNightmare auf \u201eschlanker Fu\u00df\"<\/a>
Windows: PrintNightmare-Nachlese und Stand (27. August 2021)<\/a>
Patchday-Nachlese Sept. 2021: Neues PrintNightmare-Fix-Desaster<\/a>
Windows PrintNightmare: Microsoft best\u00e4tigt Probleme nach Sept. 2021-Update<\/a>
Windows September 2021-Update: Workaround f\u00fcr Druckprobleme<\/a>
Windows-PrintNightmare: Stand, Probleme und Workarounds (22. Sept. 2021)<\/a>
Tipp: Windows PrintNightmare-Testtools f\u00fcr Administratoren<\/a>
Microsoft best\u00e4tigt Windows-Netzwerkdruckproblem nach Oktober 2021-Updates<\/a>
Windows Oktober 2021-Updates: PrintNightmare-Stand und Netzwerk-Druckprobleme<\/a>
Windows (PrintNightmare) Druckprobleme Stand 1. Nov. 2021(KB5006674, KB5006670)<\/a>
Windows PrintNightmare-Druckprobleme: Server verliert Einstellungen, Fehler beim Drucken (11. Nov. 2021)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
[English]Im Jahr 2021 wurden durch Microsoft einige Schwachstellen im Bereich des Drucker-Spoolers geschlossen. Die Sicherheitsupdates sowie die damit einhergehenden Druckerprobleme sind unter dem Begriff \"Print Nightmare\" bekannt. In Folge sieht es so aus, dass da in Windows Domains einige unerkannte … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[11,2557],"tags":[24,4364],"class_list":["post-281126","post","type-post","status-publish","format-standard","hentry","category-problemlosung","category-windows-server","tag-problem","tag-windows-server"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/281126","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=281126"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/281126\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=281126"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=281126"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=281126"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}