msdummie
11.03.2023
view6644
view15
0
Goto Top

Eventid 42 - kerberos

FrageWindows Server
Im Kerberos-Schlüsselverteilungscenter fehlen starke Schlüssel für das Konto „krbtgt.

“. Sie müssen das Kennwort dieses Kontos aktualisieren, damit keine unsichere Kryptografie verwendet werden kann.

Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2215265.


Wenn ich folgende Abfrage fahre:

Get-ADUser -Property msDS-SupportedEncryptionTypes -LDAPFilter '(msDS-supportedEncryptionTypes:1.2.840.113556.1.4.803:=4)'

erhalte ich keine Konten. Muss ich mir sorgen machen oder warum wird mir der Fehler angezeigt?

Danke msD
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 6322947635

Url: https://administrator.de/contentid/6322947635

Ausgedruckt am: 24.11.2024 um 12:11 Uhr

15 Kommentare
Neuester Kommentar
Goto Top
beidermachtvongreyscull
beidermachtvongreyscull 11.03.2023 um 20:21:05 Uhr
Goto Top
Moin,

schau Dir doch mal das Script an:
https://github.com/microsoft/New-KrbtgtKeys.ps1/blob/master/New-KrbtgtKe ...
Dani
Dani 11.03.2023 um 22:47:59 Uhr
Goto Top
Moin,
KB5021131: How to manage the Kerberos protocol changes related to CVE-2022-37966
krbtgt Password Reset


Gruß,
Dani
MSdummie
MSdummie 11.03.2023, aktualisiert am 13.03.2023 um 07:23:28 Uhr
Goto Top
Hi,

also einfach das Skript auf dem Master DCs ausführen (oder auf allen?) -> fertig ??

Danke
MSdummie
MSdummie 19.03.2023, aktualisiert am 20.03.2023 um 20:19:16 Uhr
Goto Top
hi,

wenn ich das skript ausführe bekomme ich folgende Fehlermeldung:
In C:\New-KrbtgtKeys.ps1:208 Zeichen:17
+             Sign up
+                 ~
Das kaufmännische Und-Zeichen (&) ist nicht zulässig. Der &-Operator ist für eine zukünftige Verwendung reserviert. Verwenden Sie das kaufmännische 
Und-Zeichen in doppelten Anführungszeichen ("&"), um es als Teil einer Zeichenfolge zu übergeben.  
In C:\New-KrbtgtKeys.ps1:213 Zeichen:209
+ ... k Button--medium Button d-lg-none color-fg-inherit p-1">    <span cla ...  
+                                                                 ~
Der Operator "<" ist für zukünftige Versionen reserviert.  
In C:\New-KrbtgtKeys.ps1:431 Zeichen:13
+       CI/CD & Automation
+             ~
Das kaufmännische Und-Zeichen (&) ist nicht zulässig. Der &-Operator ist für eine zukünftige Verwendung reserviert. Verwenden Sie das kaufmännische 
Und-Zeichen in doppelten Anführungszeichen ("&"), um es als Teil einer Zeichenfolge zu übergeben.  
In C:\New-KrbtgtKeys.ps1:2077 Zeichen:150
+ ... lg-justify-between mb-2 mb-lg-0" aria-labelledby='sr-footer-heading'>  
+                                                                        ~~
Die Zeichenfolge hat kein Abschlusszeichen: '.  
    + CategoryInfo          : ParserError: (:) [], ParentContainsErrorRecordException
    + FullyQualifiedErrorId : AmpersandNotAllowed
What to do?
MSdummie
MSdummie 19.03.2023 um 20:53:43 Uhr
Goto Top
&die Fehlermeldung Eventid 42 - kerberos taucht weiterhin auf

Dank!
MSdummie
MSdummie 19.03.2023 um 21:59:46 Uhr
Goto Top
bei anderen Skripten erhalte ich folgende Fehermldungen

Replicating krbtgt object to all writable domain controllers that are reachable...
Replication of krbtgt from DC to DC2 ...FAILED Time: 00:00:00.0781339

Single object replication failed to one or more writable domain controllers. All failures should be remediated before attempting Mode 3.
One or more items failed. Resolve failures and retry.


logfile:

ScriptMode : 3
PreFlightPassed : True
DomainModePassed : True
NMinusOneTicketExpirationPassed : True
RpcToDCsPassed : True
ReplicationCheckSucceeded : False
ImpactDurationEstimate : 00:00:00.0781339
MSdummie
MSdummie 19.03.2023 aktualisiert um 22:38:01 Uhr
Goto Top
die manuelle Replikation in Domänen und Standorten klappt und ich sehe keine Fehlermeldungen im eventlog

dcdiag meckert auch nicht außer kerberos ..
Dani
Dani 20.03.2023 um 20:21:19 Uhr
Goto Top
Moin,
ich habe mir erlaubt deinen ersten Kommentar von heute zu formatieren. Bitte zukünftig selber daran denken.

also einfach das Skript auf dem Master DCs ausführen (oder auf allen?) -> fertig ??
Auf welches Skript bzw. welchen Link beziehst du deine Frage?


Gruß,
Dani
MSdummie
MSdummie 20.03.2023 um 22:22:46 Uhr
Goto Top
Hi D,

Wie gehe ich mit den Fehlern aus den Skripten um?

1.) New-KrbtgtKeys.ps1

https://support.microsoft.com/en-us/topic/kb5021131-how-to-manage-the-ke ...

2.) Reset-KrbTgt-Password-For-RWDCs-And-RODCs.ps1

https://github.com/zjorz/Public-AD-Scripts/blob/master/Reset-KrbTgt-Pass ...

??

danke
Dani
Dani 20.03.2023 um 22:53:21 Uhr
Goto Top
Moin,
mit welchen Parametern hast du das jeweilige Skript ausgeführt? Hast du die Anmerkungen und die möglichen im jeweiligen Skript beachtet?


Gruß,
Dani
MSdummie
MSdummie 21.03.2023 um 08:25:50 Uhr
Goto Top
Hi,

nein habe ich nicht - wo finde ich diese - habe ich überlesen?

Welche Parameter muss ich nutzen?
Dani
Dani 26.03.2023 um 21:55:20 Uhr
Goto Top
Moin,
nein habe ich nicht - wo finde ich diese - habe ich überlesen?
schau in die geposteten Links bzw. in die Skripte bei Github. Da findest du im Anfang der Skripte seitenlange Kommentare und Anmerkungen.


Gruß,
Dani
MSdummie
MSdummie 26.03.2023 um 22:55:37 Uhr
Goto Top
ok also nutze ich folgende Parameter: ????

.\Reset-KrbTgt-Password-For-RWDCs-And-RODCs.ps1 -noInfo -modeOfOperation resetModeKrbTgtProdAccountsResetOnce -targetedADforestFQDN DOMAIN.COM -targetedADdomainFQDN CHILD.DOMAIN.COM -targetKrbTgtAccountScope allRODCs -continueOps -sendMailWithLogFile

DOMAIN.COM , meine Domain = XX.local ??
CHILD.DOMAIN.COM , existiert nicht, dann weglassen?? oder hier auch XX.local ??

dies ist mode 6 ohne check des syncen:

https://github.com/zjorz/Public-AD-Scripts/blob/master/Reset-KrbTgt-Pass ...

Danke!
MSdummie
MSdummie 27.03.2023 um 09:34:29 Uhr
Goto Top
nur mal so eine Frage nebenbei: rechte Maustaste "Kennwort zurücksetzten" im AD geht nicht?
chi-hua-hua
chi-hua-hua 05.11.2024 um 09:21:06 Uhr
Goto Top
nur mal so eine Frage nebenbei: rechte Maustaste "Kennwort zurücksetzten" im AD geht nicht?

hi, das würde mich auch interessieren, reicht es 2x das KRBTGT Kennwort zu ändern (mit 1-2 Tagen Abstand)
damit folgender Fehler weg ist?

Protokollname: System
Quelle: Microsoft-Windows-Kerberos-Key-Distribution-Center
Datum: 05.11.2024 08:56:30
Ereignis-ID: 42
Aufgabenkategorie:Keine
Ebene: Fehler
Schlüsselwörter:Klassisch
Benutzer: Nicht zutreffend
Computer: <"domaincontroller">
Beschreibung:
Im Kerberos-Schlüsselverteilungscenter fehlen starke Schlüssel für das Konto „krbtgt.
“. Sie müssen das Kennwort dieses Kontos aktualisieren, damit keine unsichere Kryptografie verwendet werden kann.
Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2215265.
FrageWindows Server
Mehr von MSdummieMSdummieRemoteapps per GPO verteilen (webfeed) - GPO nein, manuell jaMSdummie - 9 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 24 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 15 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 13 KommentaremaxMicrosoft plant für 2025 mehrere Preiserhöhungenmax - 11 KommentareDarkened1645Bildqualität der Windows Remotedesktop-Sitzung verbessernDarkened1645 - 11 KommentareZZaaiiggaaDigitales Archiv - wie?ZZaaiiggaa - 11 Kommentare