Seit KB5008380 Eventid 37 Kerberos-Key-Distribution-Center

Seit dem Patch KB5008380 gestern erhalten wir die neue Meldung an den DC's:

Kerberos-Key-Distribution-Center 37

Das Schlüsselverteilungscenter (Key Distribution Center, KDC) hat ein Ticket gefunden, das keine Informationen über das Konto enthielt, das das Ticket angefordert hat, während eine Anforderung für ein anderes Ticket verarbeitet wurde. Dies verhinderte die Ausführung von Sicherheitsüberprüfungen und könnte zu Sicherheitsrisiken führen. Weitere Informationen finden Sie unter „https://go.microsoft.com/fwlink/?linkid=2173051&ldquo".

Ticket-PAC erstellt von: %SERVER%
Client: %DOMAIN%.DE\\%CLIENT$%
Ticket für: krbtgt


Hintergrund:
- https://www.infrastrukturhelden.de/microsoft-infrastruktur/active-direct ...
- https://www.borncity.com/blog/2020/09/30/microsoft-przisiert-das-patchen ...
- https://support.microsoft.com/en-us/topic/kb5008380-authentication-updat ...

Frage: Sind wir kompromittiert wenn diese Meldungen laufend eingehen?

Content-Key: 1493305028

Url: https://administrator.de/contentid/1493305028

Ausgedruckt am: 05.12.2021 um 07:12 Uhr

Mitglied: Buzzy.Buzzy
Buzzy.Buzzy 11.11.2021 um 14:28:28 Uhr
Goto Top
Hallo,
ich habe am 09.11.2021 zwei neue DCs mit WS2022 in unserem AD 2012R2 eingerichtet und habe ich seit gestern auch über die gleichen Warnungen im Ereignisprotkoll gewundert.

Ich bin erleichtert, dass es nicht nur bei uns so ist (ich habe meistens Händchen/Glück für soclhe Zufälle):) face-smile.

Ich würde auch gerne wissen, was man jetzt machen sollte (das KB5007205 habe ich bereits gestern installiert, die Warnungen sind aber immer noch).

Ich höre gerne von Euch.

Danke!
Mitglied: kgborn
kgborn 11.11.2021 aktualisiert um 14:56:20 Uhr
Goto Top
Mitglied: user217
user217 11.11.2021 um 15:39:54 Uhr
Goto Top
Schön das ich nicht alleine bin!
Ich deute das so, das MS eine Sicherheitslücke hat welche jedem der ein Kerberos Ticket mit hoher Priorität anfordert auch eines bekommt und der eigentliche Anforderer leer ausgeht. Damit kann man das beliebige Systeme per Netzwerk kompromittieren. Fixen wollen die das Feature dann nächstes Jahr im Februar.. oder man macht es per Regedit gleich selber.. oder wie seht ihr das?
Mitglied: DerWoWusste
DerWoWusste 11.11.2021 um 15:44:40 Uhr
Goto Top
fixen wollen die das Feature dann nächstes Jahr im Februar
Wo entnimmst Du das?
Mitglied: user217
user217 11.11.2021 um 15:54:43 Uhr
Goto Top
Update: jetzt gibts noch eine KDC Meldung mehr eventid=17

Beim Verarbeiten einer TGS-Anforderung für den Zielserver HTTP/adfs.domain.de verfügte das Konto username@domain.DE nicht über einen passenden Schlüssel zum Erstellen eines Kerberos-Tickets (ID des fehlenden Schlüssels: 8). Angeforderte ETYPEs: 18 17. Für das Konto verfügbare ETYPEs: 23 -133 -128 18 17. Ein neuer passender Schlüssel kann durch Ändern oder Zurücksetzen des Kennworts für adfs-service erstellt werden.
Mitglied: user217
user217 11.11.2021 um 15:56:44 Uhr
Goto Top
Zitat von @DerWoWusste:

fixen wollen die das Feature dann nächstes Jahr im Februar
Wo entnimmst Du das?

hier steht das:
Starting with the July 12, 2022 Enforcement Phase update, Enforcement mode will be enabled on all Windows domain controllers and will be required.
link
Mitglied: NixVerstehen
NixVerstehen 11.11.2021 um 18:00:07 Uhr
Goto Top
Servus zusammen,

ich habe denselben Fehler mit der Event-ID 35 und 37 auch. Ich hatte gestern mit Hilfe unseres IT-Dienstleisters einen neuen DC (Standard 2022) in Betrieb genommen mit Migration vom bisherigen 2016 Essentials. Der 2016 ist aber noch nicht heruntergestuft und läuft noch, weil ich erst ein paar Tage abwarten wollte. FSMO's sind aber auf dem 2022. Die entsprechenden Updates vom 09.11.2021 sind auf beiden Servern installiert. Siehe go.microsoft.com/fwlink/?linkid=2173051

Anfangs tauchte der Fehler 37 bei jeder Anmeldung eines Clients auf. Ich hab dann auf beiden Servern nach dem Registry-Eintrag "PacRequestorEnforcement" in "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc"
gesucht. Der Eintrag war nicht vorhanden, obwohl ich das so verstehe, das die Updates diesen Eintrag setzen sollten.
Also hab ich den Eintrag angelegt mit dem Wert 1 und seither ist von Seiten der Clients Ruhe. Allerdings kommt der Fehler 37 jetzt noch bei meinem HyperV-Host und den 2 VMs (alles 2019 Standard).

Gruß NV
Mitglied: DerWoWusste
DerWoWusste 11.11.2021 um 19:22:42 Uhr
Goto Top
Da steht weder was von "fixen", noch von Februar. Was sich hier zeigt, ist nicht geplant und wird früher gefixt, mit Sicherheit.
Mitglied: user217
user217 12.11.2021 um 07:39:56 Uhr
Goto Top
Zitat von @DerWoWusste:

Da steht weder was von "fixen", noch von Februar. Was sich hier zeigt, ist nicht geplant und wird früher gefixt, mit Sicherheit.

Sorry, Juli. Nicht Februar. Wird dann der Registry-Eintrag "PacRequestorEnforcement" in "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc" gesetzt wie es NixVerstehen schon händisch gemacht hat, da steht aber das man dringend 7 Tage damit warten soll!?

Starting with the July 12, 2022 Enforcement Phase update, Enforcement mode will be enabled on all Windows domain controllers and will be required.

Ich kapiers nicht, hat jemand von euch schon neue Erkenntnisse?
Mitglied: Buzzy.Buzzy
Buzzy.Buzzy 12.11.2021 um 12:32:15 Uhr
Goto Top
Hallo,
ich habe gestern Abend auf drei DCs den Parameter PacRequestorEnforcement=1 gesetzt, bekomme aber trotzdem die Warnungen, jetzt auch das EreignisID 35 zusätzlich dazu.
Ich hoffe es passiert deswegen kein Problem mit Anmeldung der Benutzer.
Ich bin gespannt...
Mitglied: Buzzy.Buzzy
Buzzy.Buzzy 12.11.2021 um 14:38:26 Uhr
Goto Top
Letzter Stand: ich habe den Parameter auf dn DCs auf 0 gesetzt und siehe da, keine EreignisID 35/37 mehr zu sehen:) face-smile.
Mitglied: NixVerstehen
NixVerstehen 12.11.2021 um 21:40:04 Uhr
Goto Top
Kleines Update...hab jetzt alle Server und Clients durchgepatcht, auf den DCs den Parameter PacRequestorEnforcement=1 gesetzt und nun ist Ruhe. Keine einzige Fehlermeldung mehr.

Gruß NV
Mitglied: user217
user217 15.11.2021 um 09:31:42 Uhr
Goto Top
Update: ich hab bisher noch gar nix geändert und letztes Event vom Freitag 07:02. Seither nix mehr..
Mitglied: em-pie
em-pie 16.11.2021 um 09:31:45 Uhr
Goto Top
Moin,


Wir haben die Einträge auch und ich spiele dazu gerade auf dem ersten das Update ein. Mal sehen.

Mehr zu den Updates hier:
https://administrator.de/knowledge/windows-sonder-updates-gegen-dc-authe ...
Mitglied: user217
user217 16.11.2021 aktualisiert um 10:17:43 Uhr
Goto Top
ich hab den KB5008601 händisch auf den DC's installiert.
Hardware DC hats schmerzfrei gefressen, der virtualisierte DC der auch Printserver macht hat bei normalem Neustart einen unvorhergesehenen Shutdown protokolliert und anschließend lief der Installer Dienst auf vollgas was die AD Anmeldungen stark verzögerte. Nun habe ich noch eine CA und ein paar andere, soll man das dort auch installieren oder auf allen Servern?
Was meint Ihr?

PS: Die TGS Fehler vom ADFS tritt seither immer noch auf

Beim Verarbeiten einer TGS-Anforderung für den Zielserver Benutzername verfügte das Konto Benutzername@domain.DE nicht über einen passenden Schlüssel zum Erstellen eines Kerberos-Tickets (ID des fehlenden Schlüssels: 8). Das Schlüsselverteilungscenter (Key Distribution Center, KDC) hat ein Ticket-Granting-Ticket (TGT) von einem anderen KDC (DC02) erhalten, das kein PAC-Attributfeld enthielt.

Ist da vielleicht was beim Patchen schief gelaufen? (dc02 war der jenige mit dem Fehler wie oben beschrieben.
Mitglied: em-pie
em-pie 16.11.2021 aktualisiert um 12:21:52 Uhr
Goto Top
Das Update half hier auch nicht:

Das Schlüsselverteilungscenter (Key Distribution Center, KDC) hat ein Ticket gefunden, das keine Informationen über das Konto enthielt, das das Ticket angefordert hat, während eine Anforderung für ein anderes Ticket verarbeitet wurde. Dies verhinderte die Ausführung von Sicherheitsüberprüfungen und könnte zu Sicherheitsrisiken führen. Weitere Informationen finden Sie unter „https://go.microsoft.com/fwlink/?linkid=2173051&ldquo".

Ticket-PAC erstellt von: myDC
Client: COMPANY.TLD\\COMPUTER$
Ticket für: krbtgt

Edit:
Ich hab aber auch erst einen von zwei DCs aktualisiert. Die Meldung erschien auf dem aktualisierten DC "myDC!
Heiß diskutierte Beiträge
question
Hausüberwachung Kameraingo1988Vor 1 TagFragePeripheriegeräte8 Kommentare

Hallo an alle, ich möchte ab sofort mein Haus mit Kameras überwachen lassen. Es sollen 4 Kameras außen am Haus angebracht werden. Ich möchte die ...

question
3 VLANs auf eine Dose. PC bekommt IP vom falschen NetzKostasVor 1 TagFrageNetzwerke6 Kommentare

Hallo Zusammen, ich habe an einem Arbeitsplatz leider NUR eine Dose. Das VLAN=10 ist für die Drucker Das VLAN=20 ist für die PCs Das VLAN=30 ...

question
Hard- und SoftwarebeschaffungVigo16Vor 1 TagFrageHardware8 Kommentare

Hallo Zusammen, da ich kürzlich in einem gemeinnützige Verein als erster und alleiniger Inhouse Administrator angefangen habe und vorher nichts mit Hard- und Softwarebeschaffung am ...

general
Zur AdventszeitAnkhMorporkVor 1 TagAllgemeinHumor (lol)2 Kommentare

Wer es nicht kennt, sollte es kennen lernen (mMn): Viel Spaß, jede Diskussion überflüssig Ankh ...

question
Google-Konto: PW-Rücksetzung funktioniert nichtmrserious73Vor 17 StundenFrageE-Mail13 Kommentare

Hallo zusammen, habe hier gerade einen merkwürdigen Fall: Habe ein gmail-Konto, für das das Passwort nicht mehr bekannt ist. Da das Konto in Thunderbird gespeichert ...

question
Pfsense sinnvoll in Umgebung einbindendertowaVor 1 TagFrageLAN, WAN, Wireless7 Kommentare

Hallo zusammen, ich grüble schon länger über eine saubere Möglichkeit zur Integration der pfsense, da ich mich damit auch gern mal beschäftigen möchte. Aktuell habe ...

question
Reicht eine Geforce GT1030 2GB 64bit für Photoshop Illustrator?isarc01Vor 1 TagFrageGrafikkarten & Monitore3 Kommentare

Hallo, ich habe derzeit eine Geforce GTX 550 TI. (192bit) 1,5GB. Leider startet Photoshop nicht mehr. (Grafikkartenspeicher zu gering) Deshalb möchte ich mir eine GT1030 ...

question
Startscript wird nicht ausgeführt gelöst tsunamiVor 1 TagFrageWindows Server4 Kommentare

Hallo zusammen, ich habe ein Problem mit den GPOs. Ein simples Script zum testen: Liegt im richtigen Ordner. \\domäne.local\SysVol\domäne.local\Policies\{FB0087ED-7767-4A9E-B9D4-9497666F2C7E}\Machine\Scripts\Startup Der Ordner \\192.168.143.1\public\11_Software\AV\av_lang\ hat Zugriff durch ...