Server 2003 Anmeldeproblem nach November 2022 Patch
Hallo,
wir betreiben bei einem kleinen Tochterunternehmen ein ERP-System, welches noch auf einem Windows Server 2003 läuft ( ja, leider ).
Installiert man auf dem Windows 2012 DC das November 2022 Update, so kann man sich an dem 2003er Server nicht mehr anmelden (Benutzername/Kennwort falsch) und damit funktioniert auch das ERP System nicht mehr.
MS hat in diesem Update Anpassungen am Kerberos vorgenommen und den Default für das Ticket auf mindestens AES128 gesetzt.
Win 2003 unterstützt allerdings nur RC4.
Laut diesem Beitrag sollte man dies aktuell noch anpassen können:
https://www.msxfaq.de/windows/kerberos/kerberos_rc4_abschaltung.htm
Ich habe sowohl das Attribut bei dem ComputerAccount als auch bei meinem dedizierten DomAdmin Account angepasst. Leider funktioniert die Anmeldung immer noch nicht.
Das seltsame ist, ich kann den 2003er aus der Domäne nehmen und mit diesem Account wieder aufnehmen. Nach dem Neustart aber wieder das gleiche Anmeldeproblem.
Eventlog DC:
Event 4768 (Kerberos Authentication Server) wird ein Kerberos Ticket mit RC4 (Encryption Type 0x17) angefordert. Damit sollte die Einstellung am Computer bzw. Benutzerobjekt funktioniert haben
Event 4769 (Kerberos Service Ticket Operation) besagt allerdings Encryption Type 0x12 = AES128. Warum?
Event 4770 Ticket per 0x12 = AES128 erneuert. Aber der Win2003 kann das doch nicht.
Event 4624 Logon für den „computeraccount“$ erfolgreich.
Meine Kollegen und auch diverse Dienstleister kommen hier nicht weiter.
Nun ist hier mal wieder meine letzte Anlaufstelle.
Hat jemand noch ne Idee dazu oder ist selbst über dieses Problem gestoßen?
Die beiden VMs habe ich zum Troubleshooting geclont, sodass ich hier experimentieren kann..
(Jedem sich nun über Windows 2003, das zugehörige Risiko und den schon sehr lange abgelaufenen Support auslässt, dem werde ich zu 100% zustimmen)
Bin für jede Hilfe dankbar.
Gruß
wir betreiben bei einem kleinen Tochterunternehmen ein ERP-System, welches noch auf einem Windows Server 2003 läuft ( ja, leider ).
Installiert man auf dem Windows 2012 DC das November 2022 Update, so kann man sich an dem 2003er Server nicht mehr anmelden (Benutzername/Kennwort falsch) und damit funktioniert auch das ERP System nicht mehr.
MS hat in diesem Update Anpassungen am Kerberos vorgenommen und den Default für das Ticket auf mindestens AES128 gesetzt.
Win 2003 unterstützt allerdings nur RC4.
Laut diesem Beitrag sollte man dies aktuell noch anpassen können:
https://www.msxfaq.de/windows/kerberos/kerberos_rc4_abschaltung.htm
Ich habe sowohl das Attribut bei dem ComputerAccount als auch bei meinem dedizierten DomAdmin Account angepasst. Leider funktioniert die Anmeldung immer noch nicht.
Das seltsame ist, ich kann den 2003er aus der Domäne nehmen und mit diesem Account wieder aufnehmen. Nach dem Neustart aber wieder das gleiche Anmeldeproblem.
Eventlog DC:
Event 4768 (Kerberos Authentication Server) wird ein Kerberos Ticket mit RC4 (Encryption Type 0x17) angefordert. Damit sollte die Einstellung am Computer bzw. Benutzerobjekt funktioniert haben
Event 4769 (Kerberos Service Ticket Operation) besagt allerdings Encryption Type 0x12 = AES128. Warum?
Event 4770 Ticket per 0x12 = AES128 erneuert. Aber der Win2003 kann das doch nicht.
Event 4624 Logon für den „computeraccount“$ erfolgreich.
Meine Kollegen und auch diverse Dienstleister kommen hier nicht weiter.
Nun ist hier mal wieder meine letzte Anlaufstelle.
Hat jemand noch ne Idee dazu oder ist selbst über dieses Problem gestoßen?
Die beiden VMs habe ich zum Troubleshooting geclont, sodass ich hier experimentieren kann..
(Jedem sich nun über Windows 2003, das zugehörige Risiko und den schon sehr lange abgelaufenen Support auslässt, dem werde ich zu 100% zustimmen)
Bin für jede Hilfe dankbar.
Gruß
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6923199616
Url: https://administrator.de/contentid/6923199616
Ausgedruckt am: 19.12.2024 um 03:12 Uhr
7 Kommentare
Neuester Kommentar
Hi,
evtl erstellst du nochmals das Computerkonto neu in der Domain, und versuchst es erneut, und ggf. einmal prüfen ob deine Domain RC4 noch übernimmt bzw. ob hier nicht nach einem Update dieser Standart auf disable ist bei deinem DC.
Was ich noch machen würde, ist zwar etwas Blauäugig, aber kontrolliere die Einstellung des 2003ers ob dieser RC4 annimmt, nicht dass dies durch Update abgedreht wurde.
Mehr würde mir jetzt aktuell nicht einfallen.
Grüße
evtl erstellst du nochmals das Computerkonto neu in der Domain, und versuchst es erneut, und ggf. einmal prüfen ob deine Domain RC4 noch übernimmt bzw. ob hier nicht nach einem Update dieser Standart auf disable ist bei deinem DC.
Was ich noch machen würde, ist zwar etwas Blauäugig, aber kontrolliere die Einstellung des 2003ers ob dieser RC4 annimmt, nicht dass dies durch Update abgedreht wurde.
Mehr würde mir jetzt aktuell nicht einfallen.
Grüße
Moin,
https://learn.microsoft.com/en-us/answers/questions/1106875/temporarily- ...
Diese Notiz hast du auf dem Schirm? Das wird dein nächstes Problem.
Gruß,
Dani
Installiert man auf dem Windows 2012 DC das November 2022 Update, so kann man sich an dem 2003er Server nicht mehr anmelden
In welcher Zeitzone arbeitet ihr, dass bei euch erst November 2022 ist?https://www.msxfaq.de/windows/kerberos/kerberos_rc4_abschaltung.htm
Ich habe sowohl das Attribut bei dem ComputerAccount als auch bei meinem dedizierten DomAdmin Account angepasst. Leider funktioniert die Anmeldung immer noch nicht.
https://learn.microsoft.com/en-us/answers/questions/1138215/windows-serv ...Ich habe sowohl das Attribut bei dem ComputerAccount als auch bei meinem dedizierten DomAdmin Account angepasst. Leider funktioniert die Anmeldung immer noch nicht.
https://learn.microsoft.com/en-us/answers/questions/1106875/temporarily- ...
Diese Notiz hast du auf dem Schirm? Das wird dein nächstes Problem.
Meine Kollegen und auch diverse Dienstleister kommen hier nicht weiter.
Kann ich mir nicht vorstellen. Gerade die Großen haben doch Spezialisten, die das vermutlich jede Woche sehen.Gruß,
Dani
Hi,
Falls Du hier von Zugriff über RDP oder Zugriff auf eine Freigabe redest:
Statt des Servernamens die IP-Adresse verwenden, hat bei uns funktioniert.
Also RDP verbinden über IP-Adresse, nicht Namen:
Nicht schön, aber wenn es hilft ...
E.
so kann man sich an dem 2003er Server nicht mehr anmelden (Benutzername/Kennwort falsch) und damit funktioniert auch das ERP System nicht mehr.
Falls Du hier von Zugriff über RDP oder Zugriff auf eine Freigabe redest:
Statt des Servernamens die IP-Adresse verwenden, hat bei uns funktioniert.
Also RDP verbinden über IP-Adresse, nicht Namen:
- mstsc -v 1.2.3.4
- \\1.2.3.4\Freigabe
- Anmelden mit: 1.2.3.4\lokalesKonto
Nicht schön, aber wenn es hilft ...
E.