elmeracmeee
Goto Top

Server 2003 Anmeldeproblem nach November 2022 Patch

Hallo,

wir betreiben bei einem kleinen Tochterunternehmen ein ERP-System, welches noch auf einem Windows Server 2003 läuft ( ja, leider ).
Installiert man auf dem Windows 2012 DC das November 2022 Update, so kann man sich an dem 2003er Server nicht mehr anmelden (Benutzername/Kennwort falsch) und damit funktioniert auch das ERP System nicht mehr.
MS hat in diesem Update Anpassungen am Kerberos vorgenommen und den Default für das Ticket auf mindestens AES128 gesetzt.
Win 2003 unterstützt allerdings nur RC4.
Laut diesem Beitrag sollte man dies aktuell noch anpassen können:
https://www.msxfaq.de/windows/kerberos/kerberos_rc4_abschaltung.htm
Ich habe sowohl das Attribut bei dem ComputerAccount als auch bei meinem dedizierten DomAdmin Account angepasst. Leider funktioniert die Anmeldung immer noch nicht.
Das seltsame ist, ich kann den 2003er aus der Domäne nehmen und mit diesem Account wieder aufnehmen. Nach dem Neustart aber wieder das gleiche Anmeldeproblem.

Eventlog DC:
Event 4768 (Kerberos Authentication Server) wird ein Kerberos Ticket mit RC4 (Encryption Type 0x17) angefordert. Damit sollte die Einstellung am Computer bzw. Benutzerobjekt funktioniert haben
Event 4769 (Kerberos Service Ticket Operation) besagt allerdings Encryption Type 0x12 = AES128. Warum?
Event 4770 Ticket per 0x12 = AES128 erneuert. Aber der Win2003 kann das doch nicht.
Event 4624 Logon für den „computeraccount“$ erfolgreich.

Meine Kollegen und auch diverse Dienstleister kommen hier nicht weiter.
Nun ist hier mal wieder meine letzte Anlaufstelle.
Hat jemand noch ne Idee dazu oder ist selbst über dieses Problem gestoßen?
Die beiden VMs habe ich zum Troubleshooting geclont, sodass ich hier experimentieren kann..

(Jedem sich nun über Windows 2003, das zugehörige Risiko und den schon sehr lange abgelaufenen Support auslässt, dem werde ich zu 100% zustimmen)

Bin für jede Hilfe dankbar.
Gruß

Content-Key: 6923199616

Url: https://administrator.de/contentid/6923199616

Printed on: July 20, 2024 at 07:07 o'clock

Member: JasperBeardley
JasperBeardley Apr 26, 2023 at 11:21:55 (UTC)
Goto Top
Moin,

auch wenn du es wahrscheinlich nicht hören willst.

Fang jetzt an zu migrieren, im Oktober ist das nächste System aus dem Support.

Und wenn Sicherheit eh egal ist, dann installier halt keine Updates mehr.

Gruß
Jasper
Member: ElmerAcmeee
ElmerAcmeee Apr 26, 2023 at 12:28:18 (UTC)
Goto Top
Hallo,
stimme dir 100% zu! face-smile
Gruß
Member: MrHeisenberg
Solution MrHeisenberg Apr 26, 2023 at 14:42:05 (UTC)
Goto Top
Hi,

evtl erstellst du nochmals das Computerkonto neu in der Domain, und versuchst es erneut, und ggf. einmal prüfen ob deine Domain RC4 noch übernimmt bzw. ob hier nicht nach einem Update dieser Standart auf disable ist bei deinem DC.

Was ich noch machen würde, ist zwar etwas Blauäugig, aber kontrolliere die Einstellung des 2003ers ob dieser RC4 annimmt, nicht dass dies durch Update abgedreht wurde.

Mehr würde mir jetzt aktuell nicht einfallen.

Grüße
Member: Dani
Dani Apr 26, 2023 updated at 17:05:01 (UTC)
Goto Top
Moin,
Installiert man auf dem Windows 2012 DC das November 2022 Update, so kann man sich an dem 2003er Server nicht mehr anmelden
In welcher Zeitzone arbeitet ihr, dass bei euch erst November 2022 ist?

https://www.msxfaq.de/windows/kerberos/kerberos_rc4_abschaltung.htm
Ich habe sowohl das Attribut bei dem ComputerAccount als auch bei meinem dedizierten DomAdmin Account angepasst. Leider funktioniert die Anmeldung immer noch nicht.
https://learn.microsoft.com/en-us/answers/questions/1138215/windows-serv ...
https://learn.microsoft.com/en-us/answers/questions/1106875/temporarily- ...

Diese Notiz hast du auf dem Schirm? Das wird dein nächstes Problem.

Meine Kollegen und auch diverse Dienstleister kommen hier nicht weiter.
Kann ich mir nicht vorstellen. Gerade die Großen haben doch Spezialisten, die das vermutlich jede Woche sehen.


Gruß,
Dani
Member: ElmerAcmeee
ElmerAcmeee Apr 27, 2023 at 05:17:51 (UTC)
Goto Top
Moin,
@MrHeisenberg.
Das komplett neu Aufnehmen in die Domäne und vorheriges Löschen scheints gelöst zu haben.
Ouh man. Da war ich so nah dran.

@Dani,
wie angekündigt, auch dir stimme ich zunächst mal 100% zu face-smile

Wie es der eine User in dem Forum auch gesagt hat: ich bin Admin und nicht für Unternehmensentscheidungen verantwortlich.
Wahrscheinlich wird hier niemand sein, der mit solch einem System glücklich wäre.
Die VMs wurden DAMALS in separate Netze gepackt und durch eine NextGen FW verbunden. Insofern haben wir dort schon noch Möglichkeit mitigiert und auf anstehende Probleme deutlich hingewiesen.
Aber so lange ja immer alles läuft, hat die IT mal wieder vollkommen unnötig Wind gemacht. Wer kennt das nicht.

Ich werde noch ein paar letzte Tests machen und gebe dann nochmals Rückmeldung.
DANKE @ ALL
Gruß
Member: emeriks
emeriks Apr 27, 2023 at 07:22:53 (UTC)
Goto Top
Hi,

so kann man sich an dem 2003er Server nicht mehr anmelden (Benutzername/Kennwort falsch) und damit funktioniert auch das ERP System nicht mehr.

Falls Du hier von Zugriff über RDP oder Zugriff auf eine Freigabe redest:

Statt des Servernamens die IP-Adresse verwenden, hat bei uns funktioniert.
Also RDP verbinden über IP-Adresse, nicht Namen:
  • mstsc -v 1.2.3.4
Netzlaufwerk verbinden über IP-Adresse:
  • \\1.2.3.4\Freigabe
Falls Anmeldung über lokale Konten, dann auch dort explizit über die IP-Adresse:
  • Anmelden mit: 1.2.3.4\lokalesKonto

Nicht schön, aber wenn es hilft ...

E.
Member: ElmerAcmeee
ElmerAcmeee Apr 27, 2023 at 07:59:37 (UTC)
Goto Top
Hallo,
Zitat von @emeriks:
Falls Du hier von Zugriff über RDP oder Zugriff auf eine Freigabe redest:
Die Anmeldung direkt an der Console ging schon nicht.
Gruß