user217
Goto Top

Seit KB5008380 Eventid 37 Kerberos-Key-Distribution-Center

Seit dem Patch KB5008380 gestern erhalten wir die neue Meldung an den DC's:

Kerberos-Key-Distribution-Center 37

Das Schlüsselverteilungscenter (Key Distribution Center, KDC) hat ein Ticket gefunden, das keine Informationen über das Konto enthielt, das das Ticket angefordert hat, während eine Anforderung für ein anderes Ticket verarbeitet wurde. Dies verhinderte die Ausführung von Sicherheitsüberprüfungen und könnte zu Sicherheitsrisiken führen. Weitere Informationen finden Sie unter „https://go.microsoft.com/fwlink/?linkid=2173051“.

Ticket-PAC erstellt von: %SERVER%
Client: %DOMAIN%.DE\\%CLIENT$%
Ticket für: krbtgt


Hintergrund:
- https://www.infrastrukturhelden.de/microsoft-infrastruktur/active-direct ...
- https://www.borncity.com/blog/2020/09/30/microsoft-przisiert-das-patchen ...
- https://support.microsoft.com/en-us/topic/kb5008380-authentication-updat ...

Frage: Sind wir kompromittiert wenn diese Meldungen laufend eingehen?

Content-ID: 1493305028

Url: https://administrator.de/forum/seit-kb5008380-eventid-37-kerberos-key-distribution-center-1493305028.html

Ausgedruckt am: 22.12.2024 um 06:12 Uhr

Buzzy.Buzzy
Buzzy.Buzzy 11.11.2021 um 14:28:28 Uhr
Goto Top
Hallo,
ich habe am 09.11.2021 zwei neue DCs mit WS2022 in unserem AD 2012R2 eingerichtet und habe ich seit gestern auch über die gleichen Warnungen im Ereignisprotkoll gewundert.

Ich bin erleichtert, dass es nicht nur bei uns so ist (ich habe meistens Händchen/Glück für soclhe Zufälle)face-smile.

Ich würde auch gerne wissen, was man jetzt machen sollte (das KB5007205 habe ich bereits gestern installiert, die Warnungen sind aber immer noch).

Ich höre gerne von Euch.

Danke!
kgborn
kgborn 11.11.2021 aktualisiert um 14:56:20 Uhr
Goto Top
user217
user217 11.11.2021 um 15:39:54 Uhr
Goto Top
Schön das ich nicht alleine bin!
Ich deute das so, das MS eine Sicherheitslücke hat welche jedem der ein Kerberos Ticket mit hoher Priorität anfordert auch eines bekommt und der eigentliche Anforderer leer ausgeht. Damit kann man das beliebige Systeme per Netzwerk kompromittieren. Fixen wollen die das Feature dann nächstes Jahr im Februar.. oder man macht es per Regedit gleich selber.. oder wie seht ihr das?
DerWoWusste
DerWoWusste 11.11.2021 um 15:44:40 Uhr
Goto Top
fixen wollen die das Feature dann nächstes Jahr im Februar
Wo entnimmst Du das?
user217
user217 11.11.2021 um 15:54:43 Uhr
Goto Top
Update: jetzt gibts noch eine KDC Meldung mehr eventid=17

Beim Verarbeiten einer TGS-Anforderung für den Zielserver HTTP/adfs.domain.de verfügte das Konto username@domain.DE nicht über einen passenden Schlüssel zum Erstellen eines Kerberos-Tickets (ID des fehlenden Schlüssels: 8). Angeforderte ETYPEs: 18 17. Für das Konto verfügbare ETYPEs: 23 -133 -128 18 17. Ein neuer passender Schlüssel kann durch Ändern oder Zurücksetzen des Kennworts für adfs-service erstellt werden.
user217
user217 11.11.2021 um 15:56:44 Uhr
Goto Top
Zitat von @DerWoWusste:

fixen wollen die das Feature dann nächstes Jahr im Februar
Wo entnimmst Du das?

hier steht das:
Starting with the July 12, 2022 Enforcement Phase update, Enforcement mode will be enabled on all Windows domain controllers and will be required.
link
NixVerstehen
NixVerstehen 11.11.2021 um 18:00:07 Uhr
Goto Top
Servus zusammen,

ich habe denselben Fehler mit der Event-ID 35 und 37 auch. Ich hatte gestern mit Hilfe unseres IT-Dienstleisters einen neuen DC (Standard 2022) in Betrieb genommen mit Migration vom bisherigen 2016 Essentials. Der 2016 ist aber noch nicht heruntergestuft und läuft noch, weil ich erst ein paar Tage abwarten wollte. FSMO's sind aber auf dem 2022. Die entsprechenden Updates vom 09.11.2021 sind auf beiden Servern installiert. Siehe go.microsoft.com/fwlink/?linkid=2173051

Anfangs tauchte der Fehler 37 bei jeder Anmeldung eines Clients auf. Ich hab dann auf beiden Servern nach dem Registry-Eintrag "PacRequestorEnforcement" in "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc"
gesucht. Der Eintrag war nicht vorhanden, obwohl ich das so verstehe, das die Updates diesen Eintrag setzen sollten.
Also hab ich den Eintrag angelegt mit dem Wert 1 und seither ist von Seiten der Clients Ruhe. Allerdings kommt der Fehler 37 jetzt noch bei meinem HyperV-Host und den 2 VMs (alles 2019 Standard).

Gruß NV
DerWoWusste
DerWoWusste 11.11.2021 um 19:22:42 Uhr
Goto Top
Da steht weder was von "fixen", noch von Februar. Was sich hier zeigt, ist nicht geplant und wird früher gefixt, mit Sicherheit.
user217
user217 12.11.2021 um 07:39:56 Uhr
Goto Top
Zitat von @DerWoWusste:

Da steht weder was von "fixen", noch von Februar. Was sich hier zeigt, ist nicht geplant und wird früher gefixt, mit Sicherheit.

Sorry, Juli. Nicht Februar. Wird dann der Registry-Eintrag "PacRequestorEnforcement" in "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc" gesetzt wie es NixVerstehen schon händisch gemacht hat, da steht aber das man dringend 7 Tage damit warten soll!?

Starting with the July 12, 2022 Enforcement Phase update, Enforcement mode will be enabled on all Windows domain controllers and will be required.

Ich kapiers nicht, hat jemand von euch schon neue Erkenntnisse?
Buzzy.Buzzy
Buzzy.Buzzy 12.11.2021 um 12:32:15 Uhr
Goto Top
Hallo,
ich habe gestern Abend auf drei DCs den Parameter PacRequestorEnforcement=1 gesetzt, bekomme aber trotzdem die Warnungen, jetzt auch das EreignisID 35 zusätzlich dazu.
Ich hoffe es passiert deswegen kein Problem mit Anmeldung der Benutzer.
Ich bin gespannt...
Buzzy.Buzzy
Buzzy.Buzzy 12.11.2021 um 14:38:26 Uhr
Goto Top
Letzter Stand: ich habe den Parameter auf dn DCs auf 0 gesetzt und siehe da, keine EreignisID 35/37 mehr zu sehenface-smile.
NixVerstehen
NixVerstehen 12.11.2021 um 21:40:04 Uhr
Goto Top
Kleines Update...hab jetzt alle Server und Clients durchgepatcht, auf den DCs den Parameter PacRequestorEnforcement=1 gesetzt und nun ist Ruhe. Keine einzige Fehlermeldung mehr.

Gruß NV
user217
user217 15.11.2021 um 09:31:42 Uhr
Goto Top
Update: ich hab bisher noch gar nix geändert und letztes Event vom Freitag 07:02. Seither nix mehr..
DerWoWusste
DerWoWusste 15.11.2021 um 09:41:43 Uhr
Goto Top
em-pie
em-pie 16.11.2021 um 09:31:45 Uhr
Goto Top
Moin,


Wir haben die Einträge auch und ich spiele dazu gerade auf dem ersten das Update ein. Mal sehen.

Mehr zu den Updates hier:
Windows Sonder-Updates gegen DC-Authentifizierungsprobleme und Druckprobleme
user217
user217 16.11.2021 aktualisiert um 10:17:43 Uhr
Goto Top
ich hab den KB5008601 händisch auf den DC's installiert.
Hardware DC hats schmerzfrei gefressen, der virtualisierte DC der auch Printserver macht hat bei normalem Neustart einen unvorhergesehenen Shutdown protokolliert und anschließend lief der Installer Dienst auf vollgas was die AD Anmeldungen stark verzögerte. Nun habe ich noch eine CA und ein paar andere, soll man das dort auch installieren oder auf allen Servern?
Was meint Ihr?

PS: Die TGS Fehler vom ADFS tritt seither immer noch auf

Beim Verarbeiten einer TGS-Anforderung für den Zielserver Benutzername verfügte das Konto Benutzername@domain.DE nicht über einen passenden Schlüssel zum Erstellen eines Kerberos-Tickets (ID des fehlenden Schlüssels: 8). Das Schlüsselverteilungscenter (Key Distribution Center, KDC) hat ein Ticket-Granting-Ticket (TGT) von einem anderen KDC (DC02) erhalten, das kein PAC-Attributfeld enthielt.

Ist da vielleicht was beim Patchen schief gelaufen? (dc02 war der jenige mit dem Fehler wie oben beschrieben.
em-pie
em-pie 16.11.2021 aktualisiert um 12:21:52 Uhr
Goto Top
Das Update half hier auch nicht:

Das Schlüsselverteilungscenter (Key Distribution Center, KDC) hat ein Ticket gefunden, das keine Informationen über das Konto enthielt, das das Ticket angefordert hat, während eine Anforderung für ein anderes Ticket verarbeitet wurde. Dies verhinderte die Ausführung von Sicherheitsüberprüfungen und könnte zu Sicherheitsrisiken führen. Weitere Informationen finden Sie unter „https://go.microsoft.com/fwlink/?linkid=2173051“.

Ticket-PAC erstellt von: myDC
Client: COMPANY.TLD\\COMPUTER$
Ticket für: krbtgt

Edit:
Ich hab aber auch erst einen von zwei DCs aktualisiert. Die Meldung erschien auf dem aktualisierten DC "myDC!
themuck
themuck 26.12.2021 um 21:17:25 Uhr
Goto Top
Moin,
gibt es hierzu was neues... wir haben auch den Fehler nach einem Update.

https://support.microsoft.com/de/topic/kb5008380-authentication-updates- ...

"Nachdem das Update vom 09. November 2021 auf allen Active Directory-Domänencontrollern für mindestens 7 Tage installiert wurde, empfehlen wir dringend, den Erzwingungsmodus auf allen Active Directory-Domänencontrollern zu aktivieren."

das ganze zieht ja einen Rattenschwanz nach sich wenn man den Wert auf 0 setzt...

"0: Deaktiviert den Registrierungsschlüssel. Nicht empfohlen. Active Directory-Domänencontroller in diesem Modus befinden sich in der Deaktivierungsphase. Dieser Wert wird nach den Updates vom 12. April 2022 oder später nicht mehr vorhanden sein.

Wichtig Einstellung 0 ist nicht kompatibel mit Einstellung 2. Es kann zu zeitweiligen Fehlern kommen, wenn beide Einstellungen in einer Gesamtstruktur verwendet werden. Wenn die Einstellung 0 verwendet wird, empfehlen wir, dass Sie die Einstellung 0 (Deaktivieren) mindestens eine Woche lang auf die Einstellung 1 (Bereitstellung) umstellen, bevor Sie zur Einstellung 2 (Erzwingungsmodus) wechseln."
Pischel
Pischel 26.07.2022 um 13:35:20 Uhr
Goto Top
Hallo,
meine Umgebung ist ein Wind 2012R (nicht Up to Date
Domainumgebung
neuer DC 2022 Up to Date
FSMO Rollen sind auf den 2022 schon umgezogen
hab ein der Ereignisanzeige die Meldung Kerberos-Key-Distribution-Center Ereignis 35 und 37
Was ist da genau die Lösung?