fbpx

Wie können wir Ihnen heute helfen?

Leere Freigaben mit SSO-Anmeldung, verursacht durch Windows Update

Du bist da:
< Zurück

Hinweis: Microsoft hat mit dem kumulativen Dezember-Update einen Fix veröffentlicht

Gemäß dem Micosoft Update-Katalog wurde das Out-of-Band-Update KB5008601 (2016) durch das Dezember-CU KB5008207 ersetzt. Das Out-of-Band-Update KB5008602 (2019) wurde durch Dezember CU KB5008218 ersetzt. Sie können also das Out-of-Band-Update überspringen und direkt zum kumulativen Dezember-Update wechseln.

Wenn Sie entweder das November-Update installiert haben und Probleme bei der Anmeldung mit SSO haben, wird das Dezember-CU das Problem beheben.

Wenn Sie keine Updates installiert haben, stellt das Dezember-CU das Update bereit, ohne ein Problem für SSO-Anmeldungen zu verursachen.

 

Problembeschreibung

Ein von Microsoft am 9. November im Rahmen von Patch Tuesday veröffentlichtes Update enthielt einen Fehler, der die Kerberos-Authentifizierung unterbrach, die von vielen SSO-Produkten einschließlich MyWorkDrive verwendet wird, wenn das Update auf Domänencontrollern installiert wird. Es war eine Antwort auf CVE-2021-42287

Bei betroffenen Clients werden Webclient-Anmeldungen angezeigt, bei denen nach der Anmeldung keine verfügbaren Freigaben angezeigt werden, und Map Drive-Clients melden sich nicht an und melden den Fehler „Keine Freigaben bereitgestellt“ oder „Benutzer nicht gefunden“ (je nach Version des Map Drive-Clients).

 

Details zum Fehler und zur Fehlerbeseitigung finden Sie hier
https://docs.microsoft.com/en-us/windows/release-health/status-windows-10-1809-and-windows-server-2019#2748msgdesc

 

Das Problem tritt nur auf, wenn das Update installiert ist Domänencontroller. Das Installieren/Entfernen von MyWorkDrive-Servern und Dateiservern hat keinen Einfluss auf das Problem.

 

Aktualisierte Patches wurden am 14. November veröffentlicht, um das Problem in den früheren fehlerhaften Updates zu beheben, und sollten auf Domänencontrollern installiert werden. Sie müssen manuell heruntergeladen und installiert werden, sie werden nicht von Microsoft Update bereitgestellt.

KB5008602 für Server 2019:

https://docs.microsoft.com/en-ca/windows/release-health/status-windows-10-1809-and-windows-server-2019#2748msgdesc

KB5008601 für Server 2016:

https://docs.microsoft.com/en-ca/windows/release-health/status-windows-10-1607-and-windows-server-2016#2748msgdesc

 

Die ursprünglichen Updates, die das Problem verursachen, sind:

KB5007206 für Server 2019.
https://support.microsoft.com/en-us/topic/november-9-2021-kb5007206-os-build-17763-2300-c63b76fa-a9b4-4685-b17c-7d866bb50e48

KB5007192 für Server 2016
https://support.microsoft.com/en-us/topic/november-9-2021-kb5007192-os-build-14393-4770-f534a33a-ed00-4bd2-8248-9424c53e9bde

Wenn eines davon auf Ihren Domänencontrollern installiert ist, müssen Sie es entweder entfernen oder den oben verlinkten Patch installieren, um das Problem zu beheben.

 

Wenn Ihre Domänencontroller nicht 2016/2019 sind, finden Sie hier Links für das Update und den Patch für andere Windows-Versionen:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42287

Server 2008, 2008r2, 2012 und 2012r2 sind alle betroffen.

 

Identifizieren eines DC mit dem Fehler

Die EventIDs, die angeben, dass ein Domänencontroller das Update, aber nicht den Fix hat, umfassen

https://support.microsoft.com/en-gb/topic/kb5008380-authentication-updates-cve-2021-42287-9dafac11-e0d0-4cb8-959a-143bd0201041

35
Ereignisquelle
Kdcsvc
Ereignis-ID
35
Ereignistext
Das Key Distribution Center (KDC) hat ein Ticket-Granting-Ticket (TGT) von einem anderen KDC („ “), die kein PAC-Attributfeld enthielt.
36
Ereignisquelle
Kdcsvc
Ereignis-ID
36
Ereignistext
Das Key Distribution Center (KDC) ist auf ein Ticket gestoßen, das kein PAC enthielt, während es eine Anfrage für ein anderes Ticket verarbeitete. Dies verhinderte die Ausführung von Sicherheitsüberprüfungen und konnte Sicherheitslücken öffnen.
Klient: \
Eintrittskarte für:
37
Ereignisquelle
Kdcsvc
Ereignis-ID
37
Ereignistext
Das Key Distribution Center (KDC) ist auf ein Ticket gestoßen, das keine Informationen über das Konto enthielt, das das Ticket angefordert hat, während eine Anfrage für ein anderes Ticket bearbeitet wurde. Dies verhinderte die Ausführung von Sicherheitsüberprüfungen und konnte Sicherheitslücken öffnen.
Ticket-PAC erstellt von:
Klient: \
Eintrittskarte für:
38
Ereignis-ID
38
Ereignistext
Das Key Distribution Center (KDC) ist auf ein Ticket gestoßen, das widersprüchliche Informationen über das Konto enthielt, das das Ticket angefordert hat. Dies könnte bedeuten, dass das Konto seit Ausstellung des Tickets umbenannt wurde, was möglicherweise Teil eines versuchten Exploits war.
Ticket-PAC erstellt von:
Klient: \
Eintrittskarte für:
Konto-SID von Active Directory anfordern:
Konto-SID von Ticket anfordern:

Im Gegensatz zu einigen Fehlern in Microsoft-Patches/Updates sind Sie hiervon nicht betroffen. Sie werden beeinträchtigt, wenn Sie SSO verwenden und die Windows-Updates installieren, ohne den Patch zu installieren, um das Problem zu beheben.

Wenn Sie bei der Verwendung von SSO leere Freigaben finden, während Anmeldungen mit Domänenanmeldeinformationen Freigaben anzeigen, überprüfen Sie zunächst, ob dies der Fall ist Delegierung richtig aktiviert. Wenn die Delegierung korrekt aktiviert ist, überprüfen Sie Ihren Domänencontroller, um festzustellen, ob die mit dem Update verknüpfte KB installiert ist. Installieren Sie in diesem Fall die Patches, um das Problem zu beheben.