Windows-Sonderupdates: Fix für Kerberos-Authentication-Problem

Windows Update[English]Microsoft rollt seit dem 17. November 2020 Sonderupdates für diverse Windows Server-Versionen aus. Diese sollen die Probleme mit der Kerberos-Authentifizierung von Ticket-Erneuerungen auf Domain Controllern beheben.


Anzeige

Das Kerberos-Authentication-Problem

Das November 2020 Update KB4586781 für Windows Server, Version 2004 und 20H2 behebt eine Reihe an Problemen (siehe auch Patchday: Windows 10-Updates (10. November 2020)). In bestimmten Konstellationen gab es anschließend allerdings Probleme mit der Kerberos-Authentifizierung an Domain Controllern, wenn das Update unter Windows Server, Version 2004 und 20H2 installiert wurde, aber Tickets von Windows Servern ohne dieses Update ausgestellt wurden. Ich hatte das im Blog-Beitrag Windows 10/Windows Server: Update KB4586781 macht Probleme mit Kerberos DC-Authentifizierung thematisiert, nachdem Microsoft einen entsprechenden Hinweis auf der Windows Statusseite gepostet hatte. Microsoft hatte baldmöglichst Abhilfe versprochen.

Microsoft gibt Sonderupdates mit Fix frei

Microsoft rollt seit dem 17. November 2020 Sonderupdates für diverse Windows Server-Versionen aus. Ich hatte bereits im Blog-Beitrag Windows Server 2012/R2: Sonderpatch für Kerberos-Authentication-Problem auf das erste Update hingewiesen. Hier ist jetzt die Liste der Updates für verschiedene Windows-Versionen.

  • KB4594442 für Windows Server Version 1809 und Windows Server 2019
  • KB4594439 für Windows Server 2012 R2
  • KB4594438 für Windows Server 2012

Die obigen Updates beheben Probleme mit der Kerberos-Authentifizierung im Zusammenhang mit dem Wert des Registrierungsunterschlüssels PerformTicketSignature in CVE-2020-17049. Die Probleme hängen mit den Windows-Updates vom 10. November 2020 zusammen. Laut den jeweiligen Supportbeiträgen soll das Sonderupdate folgende Probleme beheben:

  • Kerberos service tickets and ticket-granting tickets (TGT) might not renew for non-Windows Kerberos clients when PerformTicketSignature is set to 1 (the default).
  • Service for User (S4U) scenarios, such as scheduled tasks, clustering, and services for line-of-business applications, might fail for all clients when PerformTicketSignature is set to 0.
  • S4UProxy delegation fails during ticket referral in cross-domain scenarios if DCs in intermediate domains are inconsistently updated and PerformTicketSignature is set to 1.

Die Updates sind im Microsoft Update Catalog erhältlich (nach der KB-Nummer suchen lassen). Microsoft empfiehlt die Installation des letzten Servicing Stack Update (SSU) gemäß ADV990001, bevor der Patch installiert wird. Probleme sind bisher nicht bekannt. Details sind den jeweiligen Supportbeiträgen zu entnehmen.

Ergänzung: Es liegen weitere Updates vor, siehe Weitere Windows-Updates mit Fix für Kerberos-Authentication-Problem (19.11.2020).

Ähnliche Artikel:
Patchday: Windows 10-Updates (10. November 2020)
Windows 10/Windows Server: Update KB4586781 macht Probleme mit Kerberos DC-Authentifizierung
Windows Server 2012/R2: Sonderpatch für Kerberos-Authentication-Problem


Anzeige


Dieser Beitrag wurde unter Problemlösung, Windows 10, Windows Server abgelegt und mit Patchday 11.2020, Problemlösung, Update, Windows Server verschlagwortet. Setze ein Lesezeichen auf den Permalink.

12 Antworten zu Windows-Sonderupdates: Fix für Kerberos-Authentication-Problem


  1. Anzeige
  2. MOM20xx sagt:

    und das installiert man jetzt nur auf domain controllern und dann betet man oder sollt es überall rauf?

    • Günter Born sagt:

      Imho muss das auf die Server drauf, die die Kerberos-Tickets ausstellen – mag mich aber täuschen.

      Wichtig: Das Problem tritt ja nur auf, wenn ein Windows Server 2004/20H2 als DC läuft und das November 2020-Sicherheitsupdate erhalten hat. Wenn Du diese Konstellation also nicht fährst, sollte das Kerberos-Ticket refresh funktionieren und Du brauchst auch die Updates nicht manuell zu installieren.

      • gpburth sagt:

        Woher stammt die Info, dass es nur auftritt, wenn 2004/20H2 als DC laufe? Diese Info konnte ich in keinem “offiziellen” Dokument bisher finden – oder habe es überlesen. Stattdessen finde ich immer nur “DCs and Read-Only DCs” oder ähnliches, ohne Einschränkung.

        Und zur Sicherheit: wenn sich noch ein 2008er DC irgendwo in einer Testumgebung befinden sollte: nicht einspielen, oder? Auch nicht auf den anderen?

        • Günter Born sagt:

          After installing KB4586781 on domain controllers (DCs) and read-only domain controllers (RODCs) in your environment, you might encounter Kerberos authentication issues.

          Quelle

          • Anonymous sagt:

            After installing KB4586786 on domain controllers (DCs) and read-only domain controllers (RODCs) in your environment, you might encounter Kerberos authentication issues.
            https://docs.microsoft.com/en-us/windows/release-information/status-windows-10-1909#1522msgdesc

            After installing KB4586793 on domain controllers (DCs) and read-only domain controllers (RODCs) in your environment, you might encounter Kerberos authentication issues.
            https://docs.microsoft.com/en-us/windows/release-information/status-windows-10-1809-and-windows-server-2019#1522msgdesc

          • gpburth sagt:

            in dem Link wird tatsächlich auf den KB4586781 und damit auf Server 2004/20H2 verwiesen.

            Allerdings steht dasselbe auch in den “known issues” von kb4586793 für Server 2019, kb4586830 für Server 2016 und kb4586823 für Server 2012R2

            Zudem wird in der Quelle folgendes vermerkt:
            “Affected platforms:
            Server: Windows Server, version 20H2; Windows Server, version 2004; Windows Server, version 1909; Windows Server, version 1903; Windows Server, version 1809; Windows Server 2019; Windows Server 2016; Windows Server 2012 R2; Windows Server 2012” – ob das allerdings nur Client-Server sind, die damit nur indirekt betroffen wären finde ich nirgends.

          • Günter Born sagt:

            Wo ist denn der Widerspruch? In Kurz: Auf WS 2004/20H2 als DC wird das Update installiert. Fordern andere Maschinen ein Kerberos Authentification Ticket renewal an, welches von einem andere Server geliefert wird, schlägt diese Anforderung fehl. Die Update sorgen dafür, dass dieses Renewal wieder von den gepatchten Servern klappt. So mein Verständnis – aber ich habe keinerlei Aktien in dem Zeugs. Kann mich also täuschen.

      • MOM20xx sagt:

        wir haben nur server mit gui und long term service im einsatz. also 2012r2, 2016 und 2019.

        aber bei genau denen steht dann bspw für 2012r2, den wir als domain controller im einsatz haben, unter https://support.microsoft.com/en-us/help/4586808

        After installing this update on domain controllers (DCs) and read-only domain controllers (RODCs) in your environment, you might encounter Kerberos authentication and ticket renewal issues. This is caused by an issue in how CVE-2020-17049 was addressed in these updates.

        For specific symptoms and behaviors related to this issue, please see the Windows release health page.

        Note This issue only affects Windows Servers, Windows 10 devices and applications in enterprise environments. This issue is resolved in KB4594438.

        deute ich so, dass wenn auf den dcs kb4586808 installiert wurde, können win 10 clients probleme mit kerberos haben. KB4594438 würde das wieder beheben. also KB4594438 nur auf DCs.

        nachdem wir aber bisher keine kerberos probleme haben, lass ich erstmal alles so wie es ist.

  3. PW sagt:

    Wir hatten massive Probleme nach ausbringen der Updates. Die Kerberos Authentifizierung an Oracle Applikationen war nicht mehr möglich bzw. das Ticket wurde nicht erneuert. Ein ‘klist purge’ half nur kurzzeitig.
    Auch der Out-of-band patch mit Registry-Key = 1 brachte keine Änderung. Wir haben diverse Win2012R2 DCs und zwei Win2016 DCs. Für letzteres gibt es noch keinen Fix.

    Wir haben jetzt das 2020-11 Update auf allen DCs wieder deinstalliert und das Problem ist erstmal weg. Der Fallback funktioniert also.

    Gibt es ähnliche Erfahrungen?

    Leider sind noch keine Artikel bekannt, um ein Troubleshooting durchzuführen. Uns stellt sich aktuell die Frage, ob parallel auch alle Clients das 2020-11 Update erhalten müssen?

    • Günter Born sagt:

      @PW: FYI – Erstkommentare laufen hier zur SPAM-Abwehr in die Moderation. Ich habe den Dreifach-Post gelöscht und nur eine Version belassen. Siehe Kommentieren im Blog

    • Summi sagt:

      @PW: Auch bei uns gab es nach dem 2020-11 Update dieses Problem mit Kerb-Auth und Oracle Apps. Der Out-of-band-Patch half auch hier nicht.
      Habt ihr inzwischen eine Lösung finden können ohne den Patch zu deinstallieren? Die Deinstallation kann ja nur ein vorübergehender Workaround sein.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.