[English]Microsoft hat zum 21. Oktober 2025 zu einem Problem im Umfeld der NTLM-/Kerberos-Authentifizierung Stellung genommen. In diesen Betriebssystemen kommt es zu Authentifizierungsfehlern, wenn SIDs auf mehreren Rechnern gleich und bestimmten Updates von August oder September 2025 installiert sind. Ein Problem, welches beim Clonen von Installationsabbildern auftauchen kann.
Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)
Die SID (steht für Security ID) ist ein eindeutiger Sicherheits-Identifikator, den Microsoft Windows automatisch vergibt. Zweck ist es, jedes System, jeden Benutzer und jede Gruppe dauerhaft zu identifizieren. Hier im Blog gibt es mit diesem Kommentar eine umfangreichere Diskussion, ob SID-Duplikate im gleichen Netzwerk ein Problem sein können. Und auch in diesem Kommentar spielen doppelte SIDs im Netzwerk eine Rolle. Das lässt sich verhindern, indem nach dem Clonen einer Windows-Installation ein Sysprep durchgeführt wird. So viel als Vorbemerkung, auch wenn die nachfolgenden Ausführungen ein Problem im Zusammenhang mit Windows-Updates von August oder September 2025 ansprechen.
Kerberos/NTLM-Authentifizierungsprobleme durch SIDs
Microsoft hat zum 21. Oktober 2025 den Supportbeitrag Kerberos and NTLM authentication failures due to duplicate SIDs (via) veröffentlicht, der sich mit den Folgen von SID-Duplikaten auseinandersetzt. Im Beitrag heißt es, dass bei Geräten mit doppelten Sicherheits-IDs (SIDs) Fehler bei der Kerberos- und NTLM-Authentifizierung auftreten können. Dieses Problem tritt auf, wenn in Windows 11 24H2 und 25H2 sowie in Windows Server 2025 folgende Windows-Updates installiert sind:
- August 29, 2025—KB5064081 (OS Build 26100.5074) Preview
- September 9, 2025—KB5065426 (OS Build 26100.6584)
Bei betroffenen Systemen äußern die Authentifizierungsfehler sich folgendermaßen:
- Benutzer werden wiederholt zur Eingabe ihrer Anmeldedaten aufgefordert.
- Zugriffsanfragen mit gültigen Anmeldedaten schlagen mit folgenden Fehlermeldungen auf dem Bildschirm fehl:
- Anmeldeversuch fehlgeschlagen
- Die Maschinen-ID stimmt teilweise nicht überein
- Der Benutzername oder das Passwort ist falsch
- Auf freigegebene Netzwerkordner kann nicht über die IP-Adresse oder den Hostnamen zugegriffen werden.
- Remotedesktopverbindungen können nicht hergestellt werden, einschließlich RDP-Sitzungen (Remote Desktop Protocol), die über PAM-Lösungen (Privileged Access Management) oder Tools von Drittanbietern initiiert wurden.
- Failover-Clustering schlägt mit der Fehlermeldung "Zugriff verweigert" fehl.
- Die Ereignisanzeige zeigt möglicherweise einen der folgenden Fehler in den Windows-Protokollen an:
- Das Sicherheitsprotokoll enthält den Fehler SEC_E_NO_CREDENTIALS.
- Das Systemprotokoll enthält die Ereignis-ID 6167 des Local Security Authority Server Service (lsasrv.dll) mit dem Meldungstext: There is a partial mismatch in the machine ID. This indicates that the ticket has either been manipulated or it belongs to a different boot session.
Hintergrund ist, dass die Windows-Updates, die am oder nach dem 29. August 2025 veröffentlicht wurden, zusätzliche Sicherheitsmaßnahmen enthalten, die SID-Prüfungen erzwingen. Dadurch schlägt die Authentifizierung bei NTLM und Kerberos fehl, sobald Geräte doppelte SIDs haben. Diese Designänderung blockiert Authentifizierungs-Handshakes zwischen solchen Geräten.
Fehlgeschlagene Authentifizierungsanfragen im Zusammenhang mit diesen Sicherheitsmaßnahmen werden durch die Ereignis-ID 6167 des Local Security Authority Server Service (lsasrv.dll) im Systemereignisprotokoll identifiziert.
Diese doppelten SIDs können in Installationen entstehen, wenn eine nicht unterstützte Klonung oder Duplizierung einer Windows-Installation ohne Ausführung von Sysprep durchgeführt wird. Die durch Sysprep aktivierte SID-Eindeutigkeit ist für die Betriebssystemduplizierung unter Windows 11, Versionen 24H2 und 25H2, sowie Windows Server 2025 nach der Installation von Windows-Updates ab dem 29. August 2025 zwingend erforderlich (siehe The Microsoft policy for disk duplication of Windows installations).
Eine Lösung des obigen Problems erfordert, dass Administratoren die betroffenen Maschinen mit einer neuen SID aufsetzen. IT-Administratoren können dieses Problem vorübergehend beheben, indem sie eine spezielle Gruppenrichtlinie installieren und konfigurieren (die wohl die erwähnte Prüfung außer Kraft setzen). Um diese spezielle Gruppenrichtlinie zu erhalten, wenden Sie sich bitte an den Microsoft-Support für Unternehmen.
MVP: 2013 – 2016
Gab es jemals eine andere Empfehlung als das die SID nicht identisch sein sollte ? Das gab doch schon immer irgendwelche merkwürdigen Seiten effekte.
Ja früher.
Bei einem Domain-Joins sollte aber spätestens eine neue SID generiert werden.
Oder Clont jemand etwa Domain Joint Devices….
Bei einem Domain Join wird keine neue SID erstellt.
Die SID ist ja Teil von allen ACLs im System.
Das betrifft aber nicht nur Cloned devices. Seit august haben wir das Phänomen auch bei uns das sporadisch sich Nutzer melden mit dem Kommentar das ihr Kennwort als falsch deklariert wird. Auf den TS geht es dann. Wir werfen die Geräte dann einmal aus der Domänen wieder rein danach geht es wieder.
Bei uns ebenso, sporadisch.