19
Seit KB5008380 Eventid 37 Kerberos-Key-Distribution-Center
Seit dem Patch KB5008380 gestern erhalten wir die neue Meldung an den DC's:
Kerberos-Key-Distribution-Center 37
Das Schlüsselverteilungscenter (Key Distribution Center, KDC) hat ein Ticket gefunden, das keine Informationen über das Konto enthielt, das das Ticket angefordert hat, während eine Anforderung für ein anderes Ticket verarbeitet wurde. Dies verhinderte die Ausführung von Sicherheitsüberprüfungen und könnte zu Sicherheitsrisiken führen. Weitere Informationen finden Sie unter „https://go.microsoft.com/fwlink/?linkid=2173051“.
Ticket-PAC erstellt von: %SERVER%
Client: %DOMAIN%.DE\\%CLIENT$%
Ticket für: krbtgt
Hintergrund:
- https://www.infrastrukturhelden.de/microsoft-infrastruktur/active-direct ...
- https://www.borncity.com/blog/2020/09/30/microsoft-przisiert-das-patchen ...
- https://support.microsoft.com/en-us/topic/kb5008380-authentication-updat ...
Frage: Sind wir kompromittiert wenn diese Meldungen laufend eingehen?
Kerberos-Key-Distribution-Center 37
Das Schlüsselverteilungscenter (Key Distribution Center, KDC) hat ein Ticket gefunden, das keine Informationen über das Konto enthielt, das das Ticket angefordert hat, während eine Anforderung für ein anderes Ticket verarbeitet wurde. Dies verhinderte die Ausführung von Sicherheitsüberprüfungen und könnte zu Sicherheitsrisiken führen. Weitere Informationen finden Sie unter „https://go.microsoft.com/fwlink/?linkid=2173051“.
Ticket-PAC erstellt von: %SERVER%
Client: %DOMAIN%.DE\\%CLIENT$%
Ticket für: krbtgt
Hintergrund:
- https://www.infrastrukturhelden.de/microsoft-infrastruktur/active-direct ...
- https://www.borncity.com/blog/2020/09/30/microsoft-przisiert-das-patchen ...
- https://support.microsoft.com/en-us/topic/kb5008380-authentication-updat ...
Frage: Sind wir kompromittiert wenn diese Meldungen laufend eingehen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1493305028
Url: https://administrator.de/contentid/1493305028
Printed on: April 24, 2024 at 18:04 o'clock
19 Comments
Latest comment
Hallo,
ich habe am 09.11.2021 zwei neue DCs mit WS2022 in unserem AD 2012R2 eingerichtet und habe ich seit gestern auch über die gleichen Warnungen im Ereignisprotkoll gewundert.
Ich bin erleichtert, dass es nicht nur bei uns so ist (ich habe meistens Händchen/Glück für soclhe Zufälle)
.
Ich würde auch gerne wissen, was man jetzt machen sollte (das KB5007205 habe ich bereits gestern installiert, die Warnungen sind aber immer noch).
Ich höre gerne von Euch.
Danke!
ich habe am 09.11.2021 zwei neue DCs mit WS2022 in unserem AD 2012R2 eingerichtet und habe ich seit gestern auch über die gleichen Warnungen im Ereignisprotkoll gewundert.
Ich bin erleichtert, dass es nicht nur bei uns so ist (ich habe meistens Händchen/Glück für soclhe Zufälle)
.Ich würde auch gerne wissen, was man jetzt machen sollte (das KB5007205 habe ich bereits gestern installiert, die Warnungen sind aber immer noch).
Ich höre gerne von Euch.
Danke!
Nur ein Schnellschuss - ich denke, es ist das hier https://docs.microsoft.com/en-us/windows/release-health/status-windows-1 ...
November 2021 Patchday-Probleme: WSUS, DC, Events
November 2021 Patchday-Probleme: WSUS, DC, Events
Schön das ich nicht alleine bin!
Ich deute das so, das MS eine Sicherheitslücke hat welche jedem der ein Kerberos Ticket mit hoher Priorität anfordert auch eines bekommt und der eigentliche Anforderer leer ausgeht. Damit kann man das beliebige Systeme per Netzwerk kompromittieren. Fixen wollen die das Feature dann nächstes Jahr im Februar.. oder man macht es per Regedit gleich selber.. oder wie seht ihr das?
Ich deute das so, das MS eine Sicherheitslücke hat welche jedem der ein Kerberos Ticket mit hoher Priorität anfordert auch eines bekommt und der eigentliche Anforderer leer ausgeht. Damit kann man das beliebige Systeme per Netzwerk kompromittieren. Fixen wollen die das Feature dann nächstes Jahr im Februar.. oder man macht es per Regedit gleich selber.. oder wie seht ihr das?
fixen wollen die das Feature dann nächstes Jahr im Februar
Wo entnimmst Du das?
Update: jetzt gibts noch eine KDC Meldung mehr eventid=17
Beim Verarbeiten einer TGS-Anforderung für den Zielserver HTTP/adfs.domain.de verfügte das Konto username@domain.DE nicht über einen passenden Schlüssel zum Erstellen eines Kerberos-Tickets (ID des fehlenden Schlüssels: 8). Angeforderte ETYPEs: 18 17. Für das Konto verfügbare ETYPEs: 23 -133 -128 18 17. Ein neuer passender Schlüssel kann durch Ändern oder Zurücksetzen des Kennworts für adfs-service erstellt werden.
Beim Verarbeiten einer TGS-Anforderung für den Zielserver HTTP/adfs.domain.de verfügte das Konto username@domain.DE nicht über einen passenden Schlüssel zum Erstellen eines Kerberos-Tickets (ID des fehlenden Schlüssels: 8). Angeforderte ETYPEs: 18 17. Für das Konto verfügbare ETYPEs: 23 -133 -128 18 17. Ein neuer passender Schlüssel kann durch Ändern oder Zurücksetzen des Kennworts für adfs-service erstellt werden.
Zitat von @DerWoWusste:
fixen wollen die das Feature dann nächstes Jahr im Februar
Wo entnimmst Du das?hier steht das:
Starting with the July 12, 2022 Enforcement Phase update, Enforcement mode will be enabled on all Windows domain controllers and will be required.
link
Servus zusammen,
ich habe denselben Fehler mit der Event-ID 35 und 37 auch. Ich hatte gestern mit Hilfe unseres IT-Dienstleisters einen neuen DC (Standard 2022) in Betrieb genommen mit Migration vom bisherigen 2016 Essentials. Der 2016 ist aber noch nicht heruntergestuft und läuft noch, weil ich erst ein paar Tage abwarten wollte. FSMO's sind aber auf dem 2022. Die entsprechenden Updates vom 09.11.2021 sind auf beiden Servern installiert. Siehe go.microsoft.com/fwlink/?linkid=2173051
Anfangs tauchte der Fehler 37 bei jeder Anmeldung eines Clients auf. Ich hab dann auf beiden Servern nach dem Registry-Eintrag "PacRequestorEnforcement" in "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc"
gesucht. Der Eintrag war nicht vorhanden, obwohl ich das so verstehe, das die Updates diesen Eintrag setzen sollten.
Also hab ich den Eintrag angelegt mit dem Wert 1 und seither ist von Seiten der Clients Ruhe. Allerdings kommt der Fehler 37 jetzt noch bei meinem HyperV-Host und den 2 VMs (alles 2019 Standard).
Gruß NV
ich habe denselben Fehler mit der Event-ID 35 und 37 auch. Ich hatte gestern mit Hilfe unseres IT-Dienstleisters einen neuen DC (Standard 2022) in Betrieb genommen mit Migration vom bisherigen 2016 Essentials. Der 2016 ist aber noch nicht heruntergestuft und läuft noch, weil ich erst ein paar Tage abwarten wollte. FSMO's sind aber auf dem 2022. Die entsprechenden Updates vom 09.11.2021 sind auf beiden Servern installiert. Siehe go.microsoft.com/fwlink/?linkid=2173051
Anfangs tauchte der Fehler 37 bei jeder Anmeldung eines Clients auf. Ich hab dann auf beiden Servern nach dem Registry-Eintrag "PacRequestorEnforcement" in "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc"
gesucht. Der Eintrag war nicht vorhanden, obwohl ich das so verstehe, das die Updates diesen Eintrag setzen sollten.
Also hab ich den Eintrag angelegt mit dem Wert 1 und seither ist von Seiten der Clients Ruhe. Allerdings kommt der Fehler 37 jetzt noch bei meinem HyperV-Host und den 2 VMs (alles 2019 Standard).
Gruß NV
Da steht weder was von "fixen", noch von Februar. Was sich hier zeigt, ist nicht geplant und wird früher gefixt, mit Sicherheit.
Zitat von @DerWoWusste:
Da steht weder was von "fixen", noch von Februar. Was sich hier zeigt, ist nicht geplant und wird früher gefixt, mit Sicherheit.
Da steht weder was von "fixen", noch von Februar. Was sich hier zeigt, ist nicht geplant und wird früher gefixt, mit Sicherheit.
Sorry, Juli. Nicht Februar. Wird dann der Registry-Eintrag "PacRequestorEnforcement" in "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc" gesetzt wie es NixVerstehen schon händisch gemacht hat, da steht aber das man dringend 7 Tage damit warten soll!?
Starting with the July 12, 2022 Enforcement Phase update, Enforcement mode will be enabled on all Windows domain controllers and will be required.
Ich kapiers nicht, hat jemand von euch schon neue Erkenntnisse?
Hallo,
ich habe gestern Abend auf drei DCs den Parameter PacRequestorEnforcement=1 gesetzt, bekomme aber trotzdem die Warnungen, jetzt auch das EreignisID 35 zusätzlich dazu.
Ich hoffe es passiert deswegen kein Problem mit Anmeldung der Benutzer.
Ich bin gespannt...
ich habe gestern Abend auf drei DCs den Parameter PacRequestorEnforcement=1 gesetzt, bekomme aber trotzdem die Warnungen, jetzt auch das EreignisID 35 zusätzlich dazu.
Ich hoffe es passiert deswegen kein Problem mit Anmeldung der Benutzer.
Ich bin gespannt...
Letzter Stand: ich habe den Parameter auf dn DCs auf 0 gesetzt und siehe da, keine EreignisID 35/37 mehr zu sehen.
.
Kleines Update...hab jetzt alle Server und Clients durchgepatcht, auf den DCs den Parameter PacRequestorEnforcement=1 gesetzt und nun ist Ruhe. Keine einzige Fehlermeldung mehr.
Gruß NV
Gruß NV
Update: ich hab bisher noch gar nix geändert und letztes Event vom Freitag 07:02. Seither nix mehr..
Moin,
Wir haben die Einträge auch und ich spiele dazu gerade auf dem ersten das Update ein. Mal sehen.
Mehr zu den Updates hier:
Windows Sonder-Updates gegen DC-Authentifizierungsprobleme und Druckprobleme
Zitat von @DerWoWusste:
Ist gelöst:
https://support.microsoft.com/en-us/topic/november-14-2021-kb5008601-os- ... (2016)
https://support.microsoft.com/en-us/topic/november-14-2021-kb5008602-os- ... (2019)
Ist gelöst:
https://support.microsoft.com/en-us/topic/november-14-2021-kb5008601-os- ... (2016)
https://support.microsoft.com/en-us/topic/november-14-2021-kb5008602-os- ... (2019)
Wir haben die Einträge auch und ich spiele dazu gerade auf dem ersten das Update ein. Mal sehen.
Mehr zu den Updates hier:
Windows Sonder-Updates gegen DC-Authentifizierungsprobleme und Druckprobleme
ich hab den KB5008601 händisch auf den DC's installiert.
Hardware DC hats schmerzfrei gefressen, der virtualisierte DC der auch Printserver macht hat bei normalem Neustart einen unvorhergesehenen Shutdown protokolliert und anschließend lief der Installer Dienst auf vollgas was die AD Anmeldungen stark verzögerte. Nun habe ich noch eine CA und ein paar andere, soll man das dort auch installieren oder auf allen Servern?
Was meint Ihr?
PS: Die TGS Fehler vom ADFS tritt seither immer noch auf
Beim Verarbeiten einer TGS-Anforderung für den Zielserver Benutzername verfügte das Konto Benutzername@domain.DE nicht über einen passenden Schlüssel zum Erstellen eines Kerberos-Tickets (ID des fehlenden Schlüssels: 8). Das Schlüsselverteilungscenter (Key Distribution Center, KDC) hat ein Ticket-Granting-Ticket (TGT) von einem anderen KDC (DC02) erhalten, das kein PAC-Attributfeld enthielt.
Ist da vielleicht was beim Patchen schief gelaufen? (dc02 war der jenige mit dem Fehler wie oben beschrieben.
Hardware DC hats schmerzfrei gefressen, der virtualisierte DC der auch Printserver macht hat bei normalem Neustart einen unvorhergesehenen Shutdown protokolliert und anschließend lief der Installer Dienst auf vollgas was die AD Anmeldungen stark verzögerte. Nun habe ich noch eine CA und ein paar andere, soll man das dort auch installieren oder auf allen Servern?
Was meint Ihr?
PS: Die TGS Fehler vom ADFS tritt seither immer noch auf
Beim Verarbeiten einer TGS-Anforderung für den Zielserver Benutzername verfügte das Konto Benutzername@domain.DE nicht über einen passenden Schlüssel zum Erstellen eines Kerberos-Tickets (ID des fehlenden Schlüssels: 8). Das Schlüsselverteilungscenter (Key Distribution Center, KDC) hat ein Ticket-Granting-Ticket (TGT) von einem anderen KDC (DC02) erhalten, das kein PAC-Attributfeld enthielt.
Ist da vielleicht was beim Patchen schief gelaufen? (dc02 war der jenige mit dem Fehler wie oben beschrieben.
Das Update half hier auch nicht:
Edit:
Ich hab aber auch erst einen von zwei DCs aktualisiert. Die Meldung erschien auf dem aktualisierten DC "myDC!
Das Schlüsselverteilungscenter (Key Distribution Center, KDC) hat ein Ticket gefunden, das keine Informationen über das Konto enthielt, das das Ticket angefordert hat, während eine Anforderung für ein anderes Ticket verarbeitet wurde. Dies verhinderte die Ausführung von Sicherheitsüberprüfungen und könnte zu Sicherheitsrisiken führen. Weitere Informationen finden Sie unter „https://go.microsoft.com/fwlink/?linkid=2173051“.
Ticket-PAC erstellt von: myDC
Client: COMPANY.TLD\\COMPUTER$
Ticket für: krbtgt
Ticket-PAC erstellt von: myDC
Client: COMPANY.TLD\\COMPUTER$
Ticket für: krbtgt
Edit:
Ich hab aber auch erst einen von zwei DCs aktualisiert. Die Meldung erschien auf dem aktualisierten DC "myDC!
Moin,
gibt es hierzu was neues... wir haben auch den Fehler nach einem Update.
https://support.microsoft.com/de/topic/kb5008380-authentication-updates- ...
"Nachdem das Update vom 09. November 2021 auf allen Active Directory-Domänencontrollern für mindestens 7 Tage installiert wurde, empfehlen wir dringend, den Erzwingungsmodus auf allen Active Directory-Domänencontrollern zu aktivieren."
das ganze zieht ja einen Rattenschwanz nach sich wenn man den Wert auf 0 setzt...
"0: Deaktiviert den Registrierungsschlüssel. Nicht empfohlen. Active Directory-Domänencontroller in diesem Modus befinden sich in der Deaktivierungsphase. Dieser Wert wird nach den Updates vom 12. April 2022 oder später nicht mehr vorhanden sein.
Wichtig Einstellung 0 ist nicht kompatibel mit Einstellung 2. Es kann zu zeitweiligen Fehlern kommen, wenn beide Einstellungen in einer Gesamtstruktur verwendet werden. Wenn die Einstellung 0 verwendet wird, empfehlen wir, dass Sie die Einstellung 0 (Deaktivieren) mindestens eine Woche lang auf die Einstellung 1 (Bereitstellung) umstellen, bevor Sie zur Einstellung 2 (Erzwingungsmodus) wechseln."
gibt es hierzu was neues... wir haben auch den Fehler nach einem Update.
https://support.microsoft.com/de/topic/kb5008380-authentication-updates- ...
"Nachdem das Update vom 09. November 2021 auf allen Active Directory-Domänencontrollern für mindestens 7 Tage installiert wurde, empfehlen wir dringend, den Erzwingungsmodus auf allen Active Directory-Domänencontrollern zu aktivieren."
das ganze zieht ja einen Rattenschwanz nach sich wenn man den Wert auf 0 setzt...
"0: Deaktiviert den Registrierungsschlüssel. Nicht empfohlen. Active Directory-Domänencontroller in diesem Modus befinden sich in der Deaktivierungsphase. Dieser Wert wird nach den Updates vom 12. April 2022 oder später nicht mehr vorhanden sein.
Wichtig Einstellung 0 ist nicht kompatibel mit Einstellung 2. Es kann zu zeitweiligen Fehlern kommen, wenn beide Einstellungen in einer Gesamtstruktur verwendet werden. Wenn die Einstellung 0 verwendet wird, empfehlen wir, dass Sie die Einstellung 0 (Deaktivieren) mindestens eine Woche lang auf die Einstellung 1 (Bereitstellung) umstellen, bevor Sie zur Einstellung 2 (Erzwingungsmodus) wechseln."
Hallo,
meine Umgebung ist ein Wind 2012R (nicht Up to Date
Domainumgebung
neuer DC 2022 Up to Date
FSMO Rollen sind auf den 2022 schon umgezogen
hab ein der Ereignisanzeige die Meldung Kerberos-Key-Distribution-Center Ereignis 35 und 37
Was ist da genau die Lösung?
meine Umgebung ist ein Wind 2012R (nicht Up to Date
Domainumgebung
neuer DC 2022 Up to Date
FSMO Rollen sind auf den 2022 schon umgezogen
hab ein der Ereignisanzeige die Meldung Kerberos-Key-Distribution-Center Ereignis 35 und 37
Was ist da genau die Lösung?
