Out-of-Band-Updates korrigieren Kerberos Authentifizierungsprobleme auf DCs (17. Nov. 2022)

Windows[English]Mit den von Microsoft zum 8. November 2022 veröffentlichten Sicherheitsupdates kam es zu Problemen mit der Kerberos Authentifizierung gegenüber Windows Domain Controllern (DCs). Microsoft hatte dies inzwischen bestätigt und hat zum 17. November 2022 ein Sonderupdate (Out-of-Band-Update) für Windows Server 2012 R2 bis 1909 veröffentlicht, um das Problem zu korrigieren. Ergänzung: Fehlende Updates für Windows Server 2008 SP2 bis Windows Server 2022 sind jetzt verfügbar und wurden nachgetragen. Ergänzung 2: FehlendesUpdate für Windows Server 2008 R2 verfügbar und nachgetragen.


Anzeige

Ich hatte ja bereits am 10. November 2022 im Blog-Beitrag November 2022-Updates für Windows: Änderungen am Netlogon- und Kerberos-Protokoll über die aufgetretenen Probleme berichtet. Nach der Installation von Updates, die am 8. November 2022 oder später auf Windows-Servern mit der Rolle Domänencontroller veröffentlicht wurden, können Probleme mit der Kerberos-Authentifizierung auftreten. Dieses Problem kann sich auf jede Kerberos-Authentifizierung in Ihrer Umgebung auswirken.

Die Anmeldung von Domänenbenutzern kann fehlschlagen. Gruppenverwaltete Dienstkonten (gMSA), die für Dienste wie Internet Information Services (IIS Web Server) verwendet werden, können möglicherweise nicht authentifiziert werden. Remote Desktop-Verbindungen mit Domänenbenutzern können möglicherweise nicht hergestellt werden. Zugriffe auf auf freigegebene Ordner auf Workstations und Dateifreigaben auf Servern funktionieren nicht mehr.  Und Druckvorgänge, die eine Domänenbenutzer-Authentifizierung erfordern, schlagen möglicherweise fehl. Microsoft hat dies in einem eigenen Beitrag bestätigt – siehe auch den Blog-Beitrag Microsoft bestätigt Kerberos Authentifizierungsprobleme nach Nov. 2022 Updates.

Updates fixen Kerberos Authentifizierungsprobleme

Blog-Leser Robert hat in diesem Kommentar darauf hingewiesen (danke dafür), dass Microsoft zum 17. November 2022 außerplanmäßige Updates zum Beheben der Kerberos Authentifizierungsprobleme veröffentlicht hat. Die außerplanmäßigen Updates stehen für folgende Windows Server-Versionen zur Verfügung und müssen lediglich auf den Domain Controllern installiert werden:

Für Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 und Windows Server 2022 war beim Erstellen des Beitrags noch kein Update zu finden. Diese wurde inzwischen nachgetragen.

Anmerkung: Für Windows Server 2008 R2 habe ich noch kein Update gefunden. Ich bin bisher sowieso davon ausgegangen, dass Windows Server 2008 R2 nicht vom Problem betroffen war. Es heißt aber (siehe z.B. hier), dass Microsoft das Update kommende Woche ausrollen will.

Bezüglich der Korrekturen, die die Updates ausführen, schreibt Microsoft in seinen Supportbeiträgen:

Addresses a known issue that affects Windows Servers that have the Domain Controller (DC) role. They might have Kerberos authentication issues if both of the following are true:

  • You installed a Windows update on or after November 8, 2022 on the DC.
  • You configured the SupportedEncrytionType key to remove the RC4 cipher at a domain level or on individual account.

You might receive Microsoft-Windows-Kerberos-Key-Distribution-Center Event ID 14 errors. These appear in the System section of the Event Log on your DC. The affected events include the text, "the missing key has an ID of 1".

Die Updates müssen aus dem Microsoft Update Catalog heruntergeladen und dann manuell auf dem Domain Controller (DC) installiert werden. Bei Update KB5021655 für Windows Server 2019 erwähnt Microsoft ein bekanntes Problem (Cluster Service startet nicht). Details finden sich in den oben verlinkten Supportbeiträgen.

Ergänzung: Inzwischen habe ich auch den Beitrag Sign in failures and other issues related to Kerberos authentication auf der Windows Server 2022 Release health Statusseite gefunden, wo das alles nochmals zusammen gefasst wird.

Ähnliche Artikel:
Patchday: Windows 10-Updates (8. November 2022)
Patchday: Windows 11/Server 2022-Updates (8. November 2022)
Windows 7/Server 2008 R2; Windows 8.1/Server 2012 R2: Updates (8. November 2022)


Anzeige

Windows 10 20H2-22H2 Preview Update KB5020030 (15.11.2022)
Windows 11 21H2: Preview-Update KB5018483 (15.11.2022)

November 2022-Updates für Windows: Änderungen am Netlogon- und Kerberos-Protokoll
Microsoft bestätigt Kerberos Authentifizierungsprobleme nach Nov. 2022 Updates


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Problemlösung, Update, Windows Server abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

22 Antworten zu Out-of-Band-Updates korrigieren Kerberos Authentifizierungsprobleme auf DCs (17. Nov. 2022)

  1. Thomas sagt:

    Wieder die übliche Frage. Ist das Update kommutativ oder muss ich erst das "kaputte" installieren und dann das neue und dann Neustarten? Mit Neustart dazwischen ist ohne ggf. funktionierende rdp Verbindung etwas problematisch.

    Habt ihr schon Erfahrungen wie es mit dem Update läuft (mit/ohne "SupportedEncrytionType" konfiguriert)?

  2. Mark Heitbrink sagt:

    … und wie immer ist die Antwort keine 5 Minuten entfernt: probier es halt aus.
    entschuldige, aber diese Fragen, die man in 5 Minuten selbst beantworten kann stellen sich nicht.

    ihr habt alle eine virtuelle Umgebung, zur Not, auf dem 10/11 client selbst mit hyperv. Ein DC plus Workstation und memberserver, die die wichtigsten Basteleien abdecken ist in 1 Stunde aufgebaut und wird dauernd benötigt.

  3. techee sagt:

    Von der Dateigröße her ist es logisch, dass es zusätzlich zum Cumulative von November installiert werden muss. Das OOB ist ja gerade mal 36 MB groß. Kommt also einfach oben drauf, fertig…

  4. Anonymous sagt:

    Mhm, tatsächlich nur für DCs? KB5021653 steht immerhin auch Clients (8.1) zur Verfügung?

  5. Singlethreaded sagt:

    Heute auf Windows Server 2016 Datacenter (DCs) direkt installiert und keine Probleme.

  6. Dennis sagt:

    Moin zusammen,

    wie ist die Resonanz bisher (2016/2019 DCs)?
    Gab's Probleme?

    Liebe Grüße!

  7. jup sagt:

    KB5021651 ist für Server 2008 R2

  8. Susanne sagt:

    Hallo, Thomas, hier ist es sehr gut erklärt: https://learn.microsoft.com/en-us/windows/release-health/status-windows-11-22H2#2953msgdesc
    "Note: You do not need to apply any previous update before installing these cumulative updates. If you have already installed updates released November 8, 2022, you do not need to uninstall the affected updates before installing any later updates including the updates listed above.

  9. Elias sagt:

    Kann man bei den ungepatchten Systemen auch einfach bis Dezember warten?

  10. Marcel sagt:

    Hat jemand von euch die gleichen Probleme nach dem Update?

    https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/november-2022-out-of-band-update-released-take-action/bc-p/3681624

    "Hello everyone,
    Does someone has identified a memory leak caused by lsass.exe process (attach to services : netlogon, KDC, Active Directory, etc.) on Windows Server 2016 with domain controllers role since the KB5019964 installation?

    I have some domain controllers on W2k16 with latest November CU patch and they all have a memory leak caused by the lsass.exe process.

    The other domain controllers which doesn't have the November CU installed don't have this memory leak.
    I'm currently installing the OOB patch to see if it fix this memory leak.

    EDIT 23/11/2022:
    The OOB patch didn't fix the memory leak on lsass.exe process so we proceed to uninstall the November CU KB5019964 and OOB KB5021664 on our Windows Server 2016 Domain Controllers."

  11. Matze82 sagt:

    Moin, habe gestern unsere beiden Domänencontroller (Windows 2012 R2) aktualisiert. Nach dem monatlichen Qualitätsupdate 11-2022 habe ich das Out-of-band Update installiert und die Server durchgestartet.

    Keine Probleme…

  12. Bernd sagt:

    das OOB löste die Zugriffs-Probleme mit älteren Systemen wie Server 2003 NICHT – das kann ich bestätigen!

    Hier:
    OOB update to address an issue with sign in and Kerberos authentication

    Don't install them yet though, we've received the following communication from our partner:

    "There are Out Of Band patches released by Microsoft today (17th November 2022) which were supposed to fix the issues confirmed in the 8th November 2022 bundle however initial testing from the Global Patch Team is showing the problem still exists!

    They're reaching out to Microsoft for a response while they continue testing, in the meantime the following is the advice:

    Do NOT directly download and install the original (8th November 2022) or the new patches (17th November 2022) on Domain Controllers, we cannot confirm they resolve the issue!"

Schreibe einen Kommentar zu techee Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.