elmeracmeee
Goto Top

Server 2003 Anmeldeproblem nach November 2022 Patch

Hallo,

wir betreiben bei einem kleinen Tochterunternehmen ein ERP-System, welches noch auf einem Windows Server 2003 läuft ( ja, leider ).
Installiert man auf dem Windows 2012 DC das November 2022 Update, so kann man sich an dem 2003er Server nicht mehr anmelden (Benutzername/Kennwort falsch) und damit funktioniert auch das ERP System nicht mehr.
MS hat in diesem Update Anpassungen am Kerberos vorgenommen und den Default für das Ticket auf mindestens AES128 gesetzt.
Win 2003 unterstützt allerdings nur RC4.
Laut diesem Beitrag sollte man dies aktuell noch anpassen können:
https://www.msxfaq.de/windows/kerberos/kerberos_rc4_abschaltung.htm
Ich habe sowohl das Attribut bei dem ComputerAccount als auch bei meinem dedizierten DomAdmin Account angepasst. Leider funktioniert die Anmeldung immer noch nicht.
Das seltsame ist, ich kann den 2003er aus der Domäne nehmen und mit diesem Account wieder aufnehmen. Nach dem Neustart aber wieder das gleiche Anmeldeproblem.

Eventlog DC:
Event 4768 (Kerberos Authentication Server) wird ein Kerberos Ticket mit RC4 (Encryption Type 0x17) angefordert. Damit sollte die Einstellung am Computer bzw. Benutzerobjekt funktioniert haben
Event 4769 (Kerberos Service Ticket Operation) besagt allerdings Encryption Type 0x12 = AES128. Warum?
Event 4770 Ticket per 0x12 = AES128 erneuert. Aber der Win2003 kann das doch nicht.
Event 4624 Logon für den „computeraccount“$ erfolgreich.

Meine Kollegen und auch diverse Dienstleister kommen hier nicht weiter.
Nun ist hier mal wieder meine letzte Anlaufstelle.
Hat jemand noch ne Idee dazu oder ist selbst über dieses Problem gestoßen?
Die beiden VMs habe ich zum Troubleshooting geclont, sodass ich hier experimentieren kann..

(Jedem sich nun über Windows 2003, das zugehörige Risiko und den schon sehr lange abgelaufenen Support auslässt, dem werde ich zu 100% zustimmen)

Bin für jede Hilfe dankbar.
Gruß

Content-ID: 6923199616

Url: https://administrator.de/contentid/6923199616

Ausgedruckt am: 19.12.2024 um 03:12 Uhr

JasperBeardley
JasperBeardley 26.04.2023 um 13:21:55 Uhr
Goto Top
Moin,

auch wenn du es wahrscheinlich nicht hören willst.

Fang jetzt an zu migrieren, im Oktober ist das nächste System aus dem Support.

Und wenn Sicherheit eh egal ist, dann installier halt keine Updates mehr.

Gruß
Jasper
ElmerAcmeee
ElmerAcmeee 26.04.2023 um 14:28:18 Uhr
Goto Top
Hallo,
stimme dir 100% zu! face-smile
Gruß
MrHeisenberg
Lösung MrHeisenberg 26.04.2023 um 16:42:05 Uhr
Goto Top
Hi,

evtl erstellst du nochmals das Computerkonto neu in der Domain, und versuchst es erneut, und ggf. einmal prüfen ob deine Domain RC4 noch übernimmt bzw. ob hier nicht nach einem Update dieser Standart auf disable ist bei deinem DC.

Was ich noch machen würde, ist zwar etwas Blauäugig, aber kontrolliere die Einstellung des 2003ers ob dieser RC4 annimmt, nicht dass dies durch Update abgedreht wurde.

Mehr würde mir jetzt aktuell nicht einfallen.

Grüße
Dani
Dani 26.04.2023 aktualisiert um 19:05:01 Uhr
Goto Top
Moin,
Installiert man auf dem Windows 2012 DC das November 2022 Update, so kann man sich an dem 2003er Server nicht mehr anmelden
In welcher Zeitzone arbeitet ihr, dass bei euch erst November 2022 ist?

https://www.msxfaq.de/windows/kerberos/kerberos_rc4_abschaltung.htm
Ich habe sowohl das Attribut bei dem ComputerAccount als auch bei meinem dedizierten DomAdmin Account angepasst. Leider funktioniert die Anmeldung immer noch nicht.
https://learn.microsoft.com/en-us/answers/questions/1138215/windows-serv ...
https://learn.microsoft.com/en-us/answers/questions/1106875/temporarily- ...

Diese Notiz hast du auf dem Schirm? Das wird dein nächstes Problem.

Meine Kollegen und auch diverse Dienstleister kommen hier nicht weiter.
Kann ich mir nicht vorstellen. Gerade die Großen haben doch Spezialisten, die das vermutlich jede Woche sehen.


Gruß,
Dani
ElmerAcmeee
ElmerAcmeee 27.04.2023 um 07:17:51 Uhr
Goto Top
Moin,
@MrHeisenberg.
Das komplett neu Aufnehmen in die Domäne und vorheriges Löschen scheints gelöst zu haben.
Ouh man. Da war ich so nah dran.

@Dani,
wie angekündigt, auch dir stimme ich zunächst mal 100% zu face-smile

Wie es der eine User in dem Forum auch gesagt hat: ich bin Admin und nicht für Unternehmensentscheidungen verantwortlich.
Wahrscheinlich wird hier niemand sein, der mit solch einem System glücklich wäre.
Die VMs wurden DAMALS in separate Netze gepackt und durch eine NextGen FW verbunden. Insofern haben wir dort schon noch Möglichkeit mitigiert und auf anstehende Probleme deutlich hingewiesen.
Aber so lange ja immer alles läuft, hat die IT mal wieder vollkommen unnötig Wind gemacht. Wer kennt das nicht.

Ich werde noch ein paar letzte Tests machen und gebe dann nochmals Rückmeldung.
DANKE @ ALL
Gruß
emeriks
emeriks 27.04.2023 um 09:22:53 Uhr
Goto Top
Hi,

so kann man sich an dem 2003er Server nicht mehr anmelden (Benutzername/Kennwort falsch) und damit funktioniert auch das ERP System nicht mehr.

Falls Du hier von Zugriff über RDP oder Zugriff auf eine Freigabe redest:

Statt des Servernamens die IP-Adresse verwenden, hat bei uns funktioniert.
Also RDP verbinden über IP-Adresse, nicht Namen:
  • mstsc -v 1.2.3.4
Netzlaufwerk verbinden über IP-Adresse:
  • \\1.2.3.4\Freigabe
Falls Anmeldung über lokale Konten, dann auch dort explizit über die IP-Adresse:
  • Anmelden mit: 1.2.3.4\lokalesKonto

Nicht schön, aber wenn es hilft ...

E.
ElmerAcmeee
ElmerAcmeee 27.04.2023 um 09:59:37 Uhr
Goto Top
Hallo,
Zitat von @emeriks:
Falls Du hier von Zugriff über RDP oder Zugriff auf eine Freigabe redest:
Die Anmeldung direkt an der Console ging schon nicht.
Gruß