November 2021 Patchday-Probleme: WSUS, DC, Events

Update[English]Mit dem Microsoft Patchday zum 9. November 2021 wurden verschiedene Sicherheitsupdates freigegeben. Neben den bereits bekannten Druckproblemen, verursacht durch frühere Updates, gibt es bei Domain Controllern (DCs) nun Authentifizierungsprobleme bei bestimmten Kerberos-Delegation-Szenarios. Führt wohl zu Einträgen in den Log-Dateien. Einige Administratoren melden, dass ihr WSUS nicht alle Updates ziehen kann.


Anzeige

Probleme mit WSUS-Update-Synchronisation

Ich weiß nicht, ob das Problem noch besteht. Aber zum 11. Nov. 2021 meldeten sich mehrere Administratoren, die feststellten, dass der WSUS nicht alle Updates ziehen kann. Hier ein Kommentar aus dem Blog:

Unser WSUS auf Basis des Windows Servers 2016, zieht nur die November Updates der Server Versionen und das Windows Tool zum Entfernen bösartiger Software. Mehrfach schon manuell syncronisiert und den Server rebootet, jedoch ohne den Effekt, dass die Windows 10 Updates gezogen werden. Wir haben an den Einstellungen des Servers absolut nichts verändert und die erforderlichen Win10 Versionen sind auch definitiv angehakt.

Kann jemand das ebenfalls nachvollziehen? Hat Microsoft etwa die Win10 Updates für den November zurückgezogen???

Das Verhalten wurde von einem weiteren Administrator für Windows Servers 2016 bestätigt (Windows Server 2019 scheint nicht betroffen). Noch jemand mit diesem Problem?

Authentifizierungsprobleme mit Domain-Controllern

Im Blog-Beitrag zu Windows 11 gibt es folgenden Kommentar, dass die Sicherheitsupdates nicht auf Domain-Controllern installiert werden sollen. Microsoft hat inzwischen den Support-Beitrag Authentication might fail on DCs with certain Kerberos delegation scenarios dazu veröffentlicht.

  • Nach der Installation der Sicherheitsupdate vom 9. November 2021 auf Domain Controllern (DC) kann es bei den angegebenen Server-Versionen zu Authentifizierungsfehlern auf Servern kommen, die mit Kerberos-Tickets zusammenhängen, die über S4u2self erworben wurden.
  • Die Authentifizierungsfehler sind das Ergebnis von Kerberos-Tickets, die über S4u2self erworben und als Beweistickets für den Protokollübergang zur Delegierung an Backend-Dienste verwendet wurden und bei denen die Signaturvalidierung fehlschlägt.
  • Die Kerberos-Authentifizierung schlägt bei Kerberos-Delegierungsszenarien fehl, bei denen der Front-End-Dienst ein Kerberos-Ticket im Namen eines Benutzers abruft, um auf einen Back-End-Dienst zuzugreifen.

Wichtige Kerberos-Delegierungsszenarien, bei denen ein Kerberos-Client dem Front-End-Dienst ein Evidenzticket zur Verfügung stellt, sind davon nicht betroffen. Reine Azure Active Directory-Umgebungen sind von diesem Problem nicht betroffen.

Microsoft gibt an, dass Endbenutzer in Ihrer Umgebung sich möglicherweise nicht bei Diensten oder Anwendungen anmelden können, die Single Sign On (SSO) mit Active Directory vor Ort oder in einer hybriden Azure Active Directory-Umgebung verwenden. Auf den Client-Windows-Geräten installierte Updates werden dieses Probleme, laut Microsoft, nicht verursachen oder beeinflussen. Als Betroffen gibt Microsoft folgende Server-Versionen an – ich habe die Updates hinzugefügt:

  • KB5007206: Windows Server 2019
  • KB5007192: Windows Server 2016
  • KB5007247: Windows Server 2012 R2
  • KB5007260:  Windows Server 2012
  • KB5007236: Windows Server 2008 R2 SP1
  • KB5007263: Windows Server 2008 SP2

Blog-Leser MOM20xx schreibt hier, dass das Problem wohl nicht nur Domain-Controller betreffe. Er hatte die ersten Authentifizierungsprobleme auf gepatchten Servern, da waren die Domain Controller noch gar nicht gepatcht. Von den Problemen betroffene Umgebungen verwenden möglicherweise die folgenden Funktionen:

  • Azure Active Directory (AAD) Application Proxy Integrated Windows Authentication (IWA) using Kerberos Constrained Delegation (KCD)
  • Web Application Proxy (WAP) Integrated Windows Authentication (IWA) Single Sign On (SSO)
  • Active Directory Federated Services (ADFS)
  • Microsoft SQL Server
  • Internet Information Services (IIS) using Integrated Windows Authentication (IWA)
  • Intermediate devices including Load Balancers performing delegated authentication

Dann sollten folgende Fehler in der betreffenden Umgebung auftreten:

  • Event Viewer might show Microsoft-Windows-Kerberos-Key-Distribution-Center event 18 logged in the System event log
  • Error 0x8009030c with text Web Application Proxy encountered an unexpected is logged in the Azure AD Application Proxy event log in Microsoft-AAD Application Proxy Connector event 12027
  • Network traces contain the following signature similar to the following:
    • 7281 24:44 (644) 10.11.2.12 <app server hostname>.contoso.com KerberosV5 KerberosV5:TGS Request Realm: CONTOSO.COM Sname: http/xxxxx-xxx.contoso.com
    • 7282 7290 (0) <hostname>. CONTOSO.COM <IP address of the application server making the TGS request>

Die Ereigniseinträge in System sind mir (zumindest nach meiner Interpretation) heute bei administrator.de in diesem Beitrag bereits unter die Augen gekommen. Microsoft arbeitet an dem Problem.


Anzeige

Ergänzung: Zum 14. November 2021 hat Microsoft Sonderupdates zum Korrigieren der DC-Authentifizierungsprobleme veröffentlicht – siehe auch die nachfolgenden Kommentare. Ich habe alle vier Updates für Windows Server im Blog-Beitrag Windows 10/Windows Server: Sonderupdates korrigieren DC-Authentifizierungsfehler (14.11.2021) zusammen getragen.

Ähnliche Artikel:
Microsoft Oktober 2021 Patchday (9. November 2021)
Patchday: Windows 10-Updates (9. November 2021)
Patchday: Windows 8.1/Server 2012-Updates (9. November 2021)
Patchday: Updates für Windows 7/Server 2008 R2 (9. November 2021)
Patchday: Windows 11 Updates (9. November 2021)
Microsoft Security Update Summary (9. November 2021)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Störung, Update, Windows abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

16 Antworten zu November 2021 Patchday-Probleme: WSUS, DC, Events

  1. Griffin sagt:

    Wir haben heute den Vormittag damit verbracht die Ursache für die Fehlermeldung eines Webservices zu finden und ebenfalls die besagten Updates als Problemquelle ausgemacht.
    "The http request was forbidden with client authentication scheme 'negotiate'. The authentication header received was 'negotiate'"

    Wir haben zuerst probiert HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc\PacRequestorEnforcement = 0 zu setzen, was nicht geholfen hat.

    Die Deinstallation des Updates auf den DCs hat das Problem temporär behoben, bis hoffentlich eine saubere Lösung kommt. Das Update behebt eine nicht unkritische Sicherheitslücke…

  2. MOM20xx sagt:

    konkret zu den auth problemen:

    wir haben dienstag abend auf unseren 2012r2, 2016 und 2019 member servern mal die updates installiert. die domain controller wurden erst mittwoch abend aktualisiert

    ergebnis:
    ein sql server 2014 mit kerberos auf windows server 2012 r2 konnte nach dem booten am dienstag abend 21:00 keine logins durchführen. sql service lief, port für sql service erreichbar, keine ersichtlichen logs am sql server oder am domain controller die schief liefen. einzig auffallendes der managed service account hat zu diesem zeitpunkt auch sein passwort gewechselt. das sollte aber seit jahren bei ms supported sein.

    weiteres phänomen im s4b on premise (server 2015 auf windows server 2016 mit adfs und wap auf server 2016 als reverse proxy) kam di spät abends plötzlich über den s4b client ein windows login dialog. den hab ich weggeklickt ohne ersichtliche probleme. dieser login dialog kam heute wieder. jetzt hab ich mal am client das skype for business profile gelöscht und neu gestartet

    nachdem patchen der domain controller hat airwatch mdm seg mit kerberos auf exchange aufgegeben. keiner konnte mails empfangen. ebenso gingen kerberos delegierungen von sql server zu sql server schief.

    nach deinstallation der patches am domain controller funktioniert mdm und die delegierung zumindest wieder.

    ob die anderen effekte vom dienstag nochmal kommen werden wir beobachten. notfalls entfernen wir die patches auf den betroffenen servern auch.

  3. mvo sagt:

    Unsere beiden Windows 2012R2 WSUS erledigen ohne Murren und Mucken ihren Job.

  4. Singlethreaded sagt:

    Wir haben einen WSUS als Bestandteil von Microsoft Endpoint Configuration Manager unter Windows Server 2016. Die November Updates wurden normal heruntergeladen und erste Testsysteme damit versehen. Ein Problem mit der WSUS Synchronisation ist bei uns bisher nicht aufgetreten.

  5. 1ST1 sagt:

    Wir hatten das Problem mit den nicht syncronisierten Updates auf WSUS im August auch, es waren aber zum Glück nur nachgeschaltete WSUS an Außenstandorten, die wir rücksetzen und neu syncronisieren konnten.

  6. Olli P. sagt:

    Noch eine Statusmeldung bzgl. des von mir gemeldeten Syncproblems des WSUSs. Gestern Abend hat der Server nun endlich auch die erforderlichen Win10 November Updates geladen…

  7. Philipp S. sagt:

    Wir haben das besagte Update von einem unserer DCs deinstalliert und haben einen Server 2019 mit dem Azure AD Connect Tool ebenfalls auf vor dem Update wiederhergestellt. Leider ist der ADSync mit Azure weiterhin defekt.

  8. Holger sagt:

    Offenbar gibt es nun Patches, die das Problem fixen sollen.
    Diese müssen jedoch manuell bei Einsatz von WSUS hinzugefügt werden.

    Hat schon jemand Erfahrungen machen können?

    W2k19: KB5008602

    https://docs.microsoft.com/en-us/windows/release-health/status-windows-10-1809-and-windows-server-2019#2748msgdesc

    W2K12-R2: KB5008603

    https://docs.microsoft.com/en-us/windows/release-health/resolved-issues-windows-8.1-and-windows-server-2012-r2

  9. Wotty55 sagt:

    Microsoft hat den Issue gestern auf gelöst gesetzt. Ist insofern in den Support Artikel auf für alle betreffenden OS Versionen auf "resolved" gesetzt. Hier als Beispiel der zum Windows Server 2019:
    https://docs.microsoft.com/en-ca/windows/release-health/status-windows-10-1809-and-windows-server-2019#2748msgdesc

    Gelöst ist es in folgenden Updates:
    – Windows Server 2019: KB5008602
    – Windows Server 2016: KB5008601
    – Windows Server 2012 R2: KB5008603

  10. Simon sagt:

    Wir haben das Problem, dass KB5007206 auf 180 Servern erneut angeboten wird. Nach erneuter Installation und Neustart kommt es dann wieder.
    Hast jemand ein ähnliches Problem?

Schreibe einen Kommentar zu Günter Born Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.