7
Server 2003 Anmeldeproblem nach November 2022 Patch
Hallo,
wir betreiben bei einem kleinen Tochterunternehmen ein ERP-System, welches noch auf einem Windows Server 2003 läuft ( ja, leider ).
Installiert man auf dem Windows 2012 DC das November 2022 Update, so kann man sich an dem 2003er Server nicht mehr anmelden (Benutzername/Kennwort falsch) und damit funktioniert auch das ERP System nicht mehr.
MS hat in diesem Update Anpassungen am Kerberos vorgenommen und den Default für das Ticket auf mindestens AES128 gesetzt.
Win 2003 unterstützt allerdings nur RC4.
Laut diesem Beitrag sollte man dies aktuell noch anpassen können:
https://www.msxfaq.de/windows/kerberos/kerberos_rc4_abschaltung.htm
Ich habe sowohl das Attribut bei dem ComputerAccount als auch bei meinem dedizierten DomAdmin Account angepasst. Leider funktioniert die Anmeldung immer noch nicht.
Das seltsame ist, ich kann den 2003er aus der Domäne nehmen und mit diesem Account wieder aufnehmen. Nach dem Neustart aber wieder das gleiche Anmeldeproblem.
Eventlog DC:
Event 4768 (Kerberos Authentication Server) wird ein Kerberos Ticket mit RC4 (Encryption Type 0x17) angefordert. Damit sollte die Einstellung am Computer bzw. Benutzerobjekt funktioniert haben
Event 4769 (Kerberos Service Ticket Operation) besagt allerdings Encryption Type 0x12 = AES128. Warum?
Event 4770 Ticket per 0x12 = AES128 erneuert. Aber der Win2003 kann das doch nicht.
Event 4624 Logon für den „computeraccount“$ erfolgreich.
Meine Kollegen und auch diverse Dienstleister kommen hier nicht weiter.
Nun ist hier mal wieder meine letzte Anlaufstelle.
Hat jemand noch ne Idee dazu oder ist selbst über dieses Problem gestoßen?
Die beiden VMs habe ich zum Troubleshooting geclont, sodass ich hier experimentieren kann..
(Jedem sich nun über Windows 2003, das zugehörige Risiko und den schon sehr lange abgelaufenen Support auslässt, dem werde ich zu 100% zustimmen)
Bin für jede Hilfe dankbar.
Gruß
wir betreiben bei einem kleinen Tochterunternehmen ein ERP-System, welches noch auf einem Windows Server 2003 läuft ( ja, leider ).
Installiert man auf dem Windows 2012 DC das November 2022 Update, so kann man sich an dem 2003er Server nicht mehr anmelden (Benutzername/Kennwort falsch) und damit funktioniert auch das ERP System nicht mehr.
MS hat in diesem Update Anpassungen am Kerberos vorgenommen und den Default für das Ticket auf mindestens AES128 gesetzt.
Win 2003 unterstützt allerdings nur RC4.
Laut diesem Beitrag sollte man dies aktuell noch anpassen können:
https://www.msxfaq.de/windows/kerberos/kerberos_rc4_abschaltung.htm
Ich habe sowohl das Attribut bei dem ComputerAccount als auch bei meinem dedizierten DomAdmin Account angepasst. Leider funktioniert die Anmeldung immer noch nicht.
Das seltsame ist, ich kann den 2003er aus der Domäne nehmen und mit diesem Account wieder aufnehmen. Nach dem Neustart aber wieder das gleiche Anmeldeproblem.
Eventlog DC:
Event 4768 (Kerberos Authentication Server) wird ein Kerberos Ticket mit RC4 (Encryption Type 0x17) angefordert. Damit sollte die Einstellung am Computer bzw. Benutzerobjekt funktioniert haben
Event 4769 (Kerberos Service Ticket Operation) besagt allerdings Encryption Type 0x12 = AES128. Warum?
Event 4770 Ticket per 0x12 = AES128 erneuert. Aber der Win2003 kann das doch nicht.
Event 4624 Logon für den „computeraccount“$ erfolgreich.
Meine Kollegen und auch diverse Dienstleister kommen hier nicht weiter.
Nun ist hier mal wieder meine letzte Anlaufstelle.
Hat jemand noch ne Idee dazu oder ist selbst über dieses Problem gestoßen?
Die beiden VMs habe ich zum Troubleshooting geclont, sodass ich hier experimentieren kann..
(Jedem sich nun über Windows 2003, das zugehörige Risiko und den schon sehr lange abgelaufenen Support auslässt, dem werde ich zu 100% zustimmen)
Bin für jede Hilfe dankbar.
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6923199616
Url: https://administrator.de/contentid/6923199616
Printed on: July 27, 2024 at 11:07 o'clock
7 Comments
Latest comment
Moin,
auch wenn du es wahrscheinlich nicht hören willst.
Fang jetzt an zu migrieren, im Oktober ist das nächste System aus dem Support.
Und wenn Sicherheit eh egal ist, dann installier halt keine Updates mehr.
Gruß
Jasper
auch wenn du es wahrscheinlich nicht hören willst.
Fang jetzt an zu migrieren, im Oktober ist das nächste System aus dem Support.
Und wenn Sicherheit eh egal ist, dann installier halt keine Updates mehr.
Gruß
Jasper
1
Hallo,
stimme dir 100% zu!
Gruß
stimme dir 100% zu!
Gruß
Hi,
evtl erstellst du nochmals das Computerkonto neu in der Domain, und versuchst es erneut, und ggf. einmal prüfen ob deine Domain RC4 noch übernimmt bzw. ob hier nicht nach einem Update dieser Standart auf disable ist bei deinem DC.
Was ich noch machen würde, ist zwar etwas Blauäugig, aber kontrolliere die Einstellung des 2003ers ob dieser RC4 annimmt, nicht dass dies durch Update abgedreht wurde.
Mehr würde mir jetzt aktuell nicht einfallen.
Grüße
evtl erstellst du nochmals das Computerkonto neu in der Domain, und versuchst es erneut, und ggf. einmal prüfen ob deine Domain RC4 noch übernimmt bzw. ob hier nicht nach einem Update dieser Standart auf disable ist bei deinem DC.
Was ich noch machen würde, ist zwar etwas Blauäugig, aber kontrolliere die Einstellung des 2003ers ob dieser RC4 annimmt, nicht dass dies durch Update abgedreht wurde.
Mehr würde mir jetzt aktuell nicht einfallen.
Grüße
Moin,
https://learn.microsoft.com/en-us/answers/questions/1106875/temporarily- ...
Diese Notiz hast du auf dem Schirm? Das wird dein nächstes Problem.
Gruß,
Dani
Installiert man auf dem Windows 2012 DC das November 2022 Update, so kann man sich an dem 2003er Server nicht mehr anmelden
In welcher Zeitzone arbeitet ihr, dass bei euch erst November 2022 ist?https://www.msxfaq.de/windows/kerberos/kerberos_rc4_abschaltung.htm
Ich habe sowohl das Attribut bei dem ComputerAccount als auch bei meinem dedizierten DomAdmin Account angepasst. Leider funktioniert die Anmeldung immer noch nicht.
https://learn.microsoft.com/en-us/answers/questions/1138215/windows-serv ...Ich habe sowohl das Attribut bei dem ComputerAccount als auch bei meinem dedizierten DomAdmin Account angepasst. Leider funktioniert die Anmeldung immer noch nicht.
https://learn.microsoft.com/en-us/answers/questions/1106875/temporarily- ...
Diese Notiz hast du auf dem Schirm? Das wird dein nächstes Problem.
Meine Kollegen und auch diverse Dienstleister kommen hier nicht weiter.
Kann ich mir nicht vorstellen. Gerade die Großen haben doch Spezialisten, die das vermutlich jede Woche sehen.Gruß,
Dani
Moin,
@MrHeisenberg.
Das komplett neu Aufnehmen in die Domäne und vorheriges Löschen scheints gelöst zu haben.
Ouh man. Da war ich so nah dran.
@Dani,
wie angekündigt, auch dir stimme ich zunächst mal 100% zu
Wie es der eine User in dem Forum auch gesagt hat: ich bin Admin und nicht für Unternehmensentscheidungen verantwortlich.
Wahrscheinlich wird hier niemand sein, der mit solch einem System glücklich wäre.
Die VMs wurden DAMALS in separate Netze gepackt und durch eine NextGen FW verbunden. Insofern haben wir dort schon noch Möglichkeit mitigiert und auf anstehende Probleme deutlich hingewiesen.
Aber so lange ja immer alles läuft, hat die IT mal wieder vollkommen unnötig Wind gemacht. Wer kennt das nicht.
Ich werde noch ein paar letzte Tests machen und gebe dann nochmals Rückmeldung.
DANKE @ ALL
Gruß
@MrHeisenberg.
Das komplett neu Aufnehmen in die Domäne und vorheriges Löschen scheints gelöst zu haben.
Ouh man. Da war ich so nah dran.
@Dani,
wie angekündigt, auch dir stimme ich zunächst mal 100% zu
Wie es der eine User in dem Forum auch gesagt hat: ich bin Admin und nicht für Unternehmensentscheidungen verantwortlich.
Wahrscheinlich wird hier niemand sein, der mit solch einem System glücklich wäre.
Die VMs wurden DAMALS in separate Netze gepackt und durch eine NextGen FW verbunden. Insofern haben wir dort schon noch Möglichkeit mitigiert und auf anstehende Probleme deutlich hingewiesen.
Aber so lange ja immer alles läuft, hat die IT mal wieder vollkommen unnötig Wind gemacht. Wer kennt das nicht.
Ich werde noch ein paar letzte Tests machen und gebe dann nochmals Rückmeldung.
DANKE @ ALL
Gruß
Hi,
Falls Du hier von Zugriff über RDP oder Zugriff auf eine Freigabe redest:
Statt des Servernamens die IP-Adresse verwenden, hat bei uns funktioniert.
Also RDP verbinden über IP-Adresse, nicht Namen:
Nicht schön, aber wenn es hilft ...
E.
so kann man sich an dem 2003er Server nicht mehr anmelden (Benutzername/Kennwort falsch) und damit funktioniert auch das ERP System nicht mehr.
Falls Du hier von Zugriff über RDP oder Zugriff auf eine Freigabe redest:
Statt des Servernamens die IP-Adresse verwenden, hat bei uns funktioniert.
Also RDP verbinden über IP-Adresse, nicht Namen:
- mstsc -v 1.2.3.4
- \\1.2.3.4\Freigabe
- Anmelden mit: 1.2.3.4\lokalesKonto
Nicht schön, aber wenn es hilft ...
E.
Hallo,
Die Anmeldung direkt an der Console ging schon nicht.
Gruß
Die Anmeldung direkt an der Console ging schon nicht.
Gruß