user217
Goto Top

Seit KB5008380 Eventid 37 Kerberos-Key-Distribution-Center

Seit dem Patch KB5008380 gestern erhalten wir die neue Meldung an den DC's:

Kerberos-Key-Distribution-Center 37

Das Schlüsselverteilungscenter (Key Distribution Center, KDC) hat ein Ticket gefunden, das keine Informationen über das Konto enthielt, das das Ticket angefordert hat, während eine Anforderung für ein anderes Ticket verarbeitet wurde. Dies verhinderte die Ausführung von Sicherheitsüberprüfungen und könnte zu Sicherheitsrisiken führen. Weitere Informationen finden Sie unter „https://go.microsoft.com/fwlink/?linkid=2173051&ldquo".

Ticket-PAC erstellt von: %SERVER%
Client: %DOMAIN%.DE\\%CLIENT$%
Ticket für: krbtgt


Hintergrund:
- https://www.infrastrukturhelden.de/microsoft-infrastruktur/active-direct ...
- https://www.borncity.com/blog/2020/09/30/microsoft-przisiert-das-patchen ...
- https://support.microsoft.com/en-us/topic/kb5008380-authentication-updat ...

Frage: Sind wir kompromittiert wenn diese Meldungen laufend eingehen?

Content-Key: 1493305028

Url: https://administrator.de/contentid/1493305028

Printed on: February 8, 2023 at 20:02 o'clock

Member: Buzzy.Buzzy
Buzzy.Buzzy Nov 11, 2021 at 13:28:28 (UTC)
Goto Top
Hallo,
ich habe am 09.11.2021 zwei neue DCs mit WS2022 in unserem AD 2012R2 eingerichtet und habe ich seit gestern auch über die gleichen Warnungen im Ereignisprotkoll gewundert.

Ich bin erleichtert, dass es nicht nur bei uns so ist (ich habe meistens Händchen/Glück für soclhe Zufälle)face-smile.

Ich würde auch gerne wissen, was man jetzt machen sollte (das KB5007205 habe ich bereits gestern installiert, die Warnungen sind aber immer noch).

Ich höre gerne von Euch.

Danke!
Member: kgborn
kgborn Nov 11, 2021 updated at 13:56:20 (UTC)
Goto Top
Member: user217
user217 Nov 11, 2021 at 14:39:54 (UTC)
Goto Top
Schön das ich nicht alleine bin!
Ich deute das so, das MS eine Sicherheitslücke hat welche jedem der ein Kerberos Ticket mit hoher Priorität anfordert auch eines bekommt und der eigentliche Anforderer leer ausgeht. Damit kann man das beliebige Systeme per Netzwerk kompromittieren. Fixen wollen die das Feature dann nächstes Jahr im Februar.. oder man macht es per Regedit gleich selber.. oder wie seht ihr das?
Member: DerWoWusste
DerWoWusste Nov 11, 2021 at 14:44:40 (UTC)
Goto Top
fixen wollen die das Feature dann nächstes Jahr im Februar
Wo entnimmst Du das?
Member: user217
user217 Nov 11, 2021 at 14:54:43 (UTC)
Goto Top
Update: jetzt gibts noch eine KDC Meldung mehr eventid=17

Beim Verarbeiten einer TGS-Anforderung für den Zielserver HTTP/adfs.domain.de verfügte das Konto username@domain.DE nicht über einen passenden Schlüssel zum Erstellen eines Kerberos-Tickets (ID des fehlenden Schlüssels: 8). Angeforderte ETYPEs: 18 17. Für das Konto verfügbare ETYPEs: 23 -133 -128 18 17. Ein neuer passender Schlüssel kann durch Ändern oder Zurücksetzen des Kennworts für adfs-service erstellt werden.
Member: user217
user217 Nov 11, 2021 at 14:56:44 (UTC)
Goto Top
Zitat von @DerWoWusste:

fixen wollen die das Feature dann nächstes Jahr im Februar
Wo entnimmst Du das?

hier steht das:
Starting with the July 12, 2022 Enforcement Phase update, Enforcement mode will be enabled on all Windows domain controllers and will be required.
link
Member: NixVerstehen
NixVerstehen Nov 11, 2021 at 17:00:07 (UTC)
Goto Top
Servus zusammen,

ich habe denselben Fehler mit der Event-ID 35 und 37 auch. Ich hatte gestern mit Hilfe unseres IT-Dienstleisters einen neuen DC (Standard 2022) in Betrieb genommen mit Migration vom bisherigen 2016 Essentials. Der 2016 ist aber noch nicht heruntergestuft und läuft noch, weil ich erst ein paar Tage abwarten wollte. FSMO's sind aber auf dem 2022. Die entsprechenden Updates vom 09.11.2021 sind auf beiden Servern installiert. Siehe go.microsoft.com/fwlink/?linkid=2173051

Anfangs tauchte der Fehler 37 bei jeder Anmeldung eines Clients auf. Ich hab dann auf beiden Servern nach dem Registry-Eintrag "PacRequestorEnforcement" in "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc"
gesucht. Der Eintrag war nicht vorhanden, obwohl ich das so verstehe, das die Updates diesen Eintrag setzen sollten.
Also hab ich den Eintrag angelegt mit dem Wert 1 und seither ist von Seiten der Clients Ruhe. Allerdings kommt der Fehler 37 jetzt noch bei meinem HyperV-Host und den 2 VMs (alles 2019 Standard).

Gruß NV
Member: DerWoWusste
DerWoWusste Nov 11, 2021 at 18:22:42 (UTC)
Goto Top
Da steht weder was von "fixen", noch von Februar. Was sich hier zeigt, ist nicht geplant und wird früher gefixt, mit Sicherheit.
Member: user217
user217 Nov 12, 2021 at 06:39:56 (UTC)
Goto Top
Zitat von @DerWoWusste:

Da steht weder was von "fixen", noch von Februar. Was sich hier zeigt, ist nicht geplant und wird früher gefixt, mit Sicherheit.

Sorry, Juli. Nicht Februar. Wird dann der Registry-Eintrag "PacRequestorEnforcement" in "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc" gesetzt wie es NixVerstehen schon händisch gemacht hat, da steht aber das man dringend 7 Tage damit warten soll!?

Starting with the July 12, 2022 Enforcement Phase update, Enforcement mode will be enabled on all Windows domain controllers and will be required.

Ich kapiers nicht, hat jemand von euch schon neue Erkenntnisse?
Member: Buzzy.Buzzy
Buzzy.Buzzy Nov 12, 2021 at 11:32:15 (UTC)
Goto Top
Hallo,
ich habe gestern Abend auf drei DCs den Parameter PacRequestorEnforcement=1 gesetzt, bekomme aber trotzdem die Warnungen, jetzt auch das EreignisID 35 zusätzlich dazu.
Ich hoffe es passiert deswegen kein Problem mit Anmeldung der Benutzer.
Ich bin gespannt...
Member: Buzzy.Buzzy
Buzzy.Buzzy Nov 12, 2021 at 13:38:26 (UTC)
Goto Top
Letzter Stand: ich habe den Parameter auf dn DCs auf 0 gesetzt und siehe da, keine EreignisID 35/37 mehr zu sehenface-smile.
Member: NixVerstehen
NixVerstehen Nov 12, 2021 at 20:40:04 (UTC)
Goto Top
Kleines Update...hab jetzt alle Server und Clients durchgepatcht, auf den DCs den Parameter PacRequestorEnforcement=1 gesetzt und nun ist Ruhe. Keine einzige Fehlermeldung mehr.

Gruß NV
Member: user217
user217 Nov 15, 2021 at 08:31:42 (UTC)
Goto Top
Update: ich hab bisher noch gar nix geändert und letztes Event vom Freitag 07:02. Seither nix mehr..
Member: DerWoWusste
DerWoWusste Nov 15, 2021 at 08:41:43 (UTC)
Goto Top
Member: em-pie
em-pie Nov 16, 2021 at 08:31:45 (UTC)
Goto Top
Moin,


Wir haben die Einträge auch und ich spiele dazu gerade auf dem ersten das Update ein. Mal sehen.

Mehr zu den Updates hier:
https://administrator.de/knowledge/windows-sonder-updates-gegen-dc-authe ...
Member: user217
user217 Nov 16, 2021 updated at 09:17:43 (UTC)
Goto Top
ich hab den KB5008601 händisch auf den DC's installiert.
Hardware DC hats schmerzfrei gefressen, der virtualisierte DC der auch Printserver macht hat bei normalem Neustart einen unvorhergesehenen Shutdown protokolliert und anschließend lief der Installer Dienst auf vollgas was die AD Anmeldungen stark verzögerte. Nun habe ich noch eine CA und ein paar andere, soll man das dort auch installieren oder auf allen Servern?
Was meint Ihr?

PS: Die TGS Fehler vom ADFS tritt seither immer noch auf

Beim Verarbeiten einer TGS-Anforderung für den Zielserver Benutzername verfügte das Konto Benutzername@domain.DE nicht über einen passenden Schlüssel zum Erstellen eines Kerberos-Tickets (ID des fehlenden Schlüssels: 8). Das Schlüsselverteilungscenter (Key Distribution Center, KDC) hat ein Ticket-Granting-Ticket (TGT) von einem anderen KDC (DC02) erhalten, das kein PAC-Attributfeld enthielt.

Ist da vielleicht was beim Patchen schief gelaufen? (dc02 war der jenige mit dem Fehler wie oben beschrieben.
Member: em-pie
em-pie Nov 16, 2021 updated at 11:21:52 (UTC)
Goto Top
Das Update half hier auch nicht:

Das Schlüsselverteilungscenter (Key Distribution Center, KDC) hat ein Ticket gefunden, das keine Informationen über das Konto enthielt, das das Ticket angefordert hat, während eine Anforderung für ein anderes Ticket verarbeitet wurde. Dies verhinderte die Ausführung von Sicherheitsüberprüfungen und könnte zu Sicherheitsrisiken führen. Weitere Informationen finden Sie unter „https://go.microsoft.com/fwlink/?linkid=2173051&ldquo".

Ticket-PAC erstellt von: myDC
Client: COMPANY.TLD\\COMPUTER$
Ticket für: krbtgt

Edit:
Ich hab aber auch erst einen von zwei DCs aktualisiert. Die Meldung erschien auf dem aktualisierten DC "myDC!
Member: themuck
themuck Dec 26, 2021 at 20:17:25 (UTC)
Goto Top
Moin,
gibt es hierzu was neues... wir haben auch den Fehler nach einem Update.

https://support.microsoft.com/de/topic/kb5008380-authentication-updates- ...

"Nachdem das Update vom 09. November 2021 auf allen Active Directory-Domänencontrollern für mindestens 7 Tage installiert wurde, empfehlen wir dringend, den Erzwingungsmodus auf allen Active Directory-Domänencontrollern zu aktivieren."

das ganze zieht ja einen Rattenschwanz nach sich wenn man den Wert auf 0 setzt...

"0: Deaktiviert den Registrierungsschlüssel. Nicht empfohlen. Active Directory-Domänencontroller in diesem Modus befinden sich in der Deaktivierungsphase. Dieser Wert wird nach den Updates vom 12. April 2022 oder später nicht mehr vorhanden sein.

Wichtig Einstellung 0 ist nicht kompatibel mit Einstellung 2. Es kann zu zeitweiligen Fehlern kommen, wenn beide Einstellungen in einer Gesamtstruktur verwendet werden. Wenn die Einstellung 0 verwendet wird, empfehlen wir, dass Sie die Einstellung 0 (Deaktivieren) mindestens eine Woche lang auf die Einstellung 1 (Bereitstellung) umstellen, bevor Sie zur Einstellung 2 (Erzwingungsmodus) wechseln."
Member: Pischel
Pischel Jul 26, 2022 at 11:35:20 (UTC)
Goto Top
Hallo,
meine Umgebung ist ein Wind 2012R (nicht Up to Date
Domainumgebung
neuer DC 2022 Up to Date
FSMO Rollen sind auf den 2022 schon umgezogen
hab ein der Ereignisanzeige die Meldung Kerberos-Key-Distribution-Center Ereignis 35 und 37
Was ist da genau die Lösung?