Wie können wir Ihnen heute helfen?
Leere Freigaben mit SSO-Anmeldung, verursacht durch Windows Update
Dieser Vorfall ereignete sich im November 2011, mit einem Patch Ende November und endgültigen Korrekturen in den Rollup-Versionen für Dezember und Januar. Ab Sommer 2022 sind keine weiteren Vorfälle aufgetreten oder zu erwarten, da die verursachenden Updates nicht mehr aktuell sind.
Wir bewahren diesen Artikel zu Archivierungszwecken auf, aber es handelt sich weder um einen aktiven Vorfall noch um eine häufige Ursache für Freigabeprobleme mit MyWorkDrive.
Hinweis: Microsoft hat mit dem kumulativen Dezember-Update einen Fix veröffentlicht
Gemäß dem Micosoft Update-Katalog wurde das Out-of-Band-Update KB5008601 (2016) durch das Dezember-CU KB5008207 ersetzt. Das Out-of-Band-Update KB5008602 (2019) wurde durch Dezember CU KB5008218 ersetzt. Sie können also das Out-of-Band-Update überspringen und direkt zum kumulativen Dezember-Update wechseln.
Wenn Sie entweder das November-Update installiert haben und Probleme bei der Anmeldung mit SSO haben, wird das Dezember-CU das Problem beheben.
Wenn Sie keine Updates installiert haben, stellt das Dezember-CU das Update bereit, ohne ein Problem für SSO-Anmeldungen zu verursachen.
Problembeschreibung
Ein von Microsoft am 9. November im Rahmen des Patch Tuesday veröffentlichtes Update enthielt einen Fehler, der die Kerberos-Authentifizierung unterbrach, die von vielen SSO-Produkten einschließlich MyWorkDrive verwendet wird, wenn das Update auf Domänencontrollern installiert wird. Es war eine Antwort auf CVE-2021-42287
Bei betroffenen Clients werden Webclient-Anmeldungen angezeigt, bei denen nach der Anmeldung keine verfügbaren Freigaben angezeigt werden, und Map Drive-Clients melden sich nicht an und melden den Fehler „Keine Freigaben bereitgestellt“ oder „Benutzer nicht gefunden“ (je nach Version des Map Drive-Clients).
Details zum Fehler und zur Fehlerbeseitigung finden Sie hier
https://docs.microsoft.com/en-us/windows/release-health/status-windows-10-1809-and-windows-server-2019#2748msgdesc
Das Problem tritt nur auf, wenn das Update installiert ist Domänencontroller. Das Installieren/Entfernen von MyWorkDrive-Servern und Dateiservern hat keinen Einfluss auf das Problem.
Aktualisierte Patches wurden am 14. November veröffentlicht, um das Problem in den früheren fehlerhaften Updates zu beheben, und sollten auf Domänencontrollern installiert werden. Sie müssen manuell heruntergeladen und installiert werden, sie werden nicht von Microsoft Update bereitgestellt.
KB5008602 für Server 2019:
KB5008601 für Server 2016:
Die ursprünglichen Updates, die das Problem verursachen, sind:
KB5007206 für Server 2019.
https://support.microsoft.com/en-us/topic/november-9-2021-kb5007206-os-build-17763-2300-c63b76fa-a9b4-4685-b17c-7d866bb50e48
KB5007192 für Server 2016
https://support.microsoft.com/en-us/topic/november-9-2021-kb5007192-os-build-14393-4770-f534a33a-ed00-4bd2-8248-9424c53e9bde
Wenn eines davon auf Ihren Domänencontrollern installiert ist, müssen Sie es entweder entfernen oder den oben verlinkten Patch installieren, um das Problem zu beheben.
Wenn Ihre Domänencontroller nicht 2016/2019 sind, finden Sie hier Links für das Update und den Patch für andere Windows-Versionen:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42287
Server 2008, 2008r2, 2012 und 2012r2 sind alle betroffen.
Identifizieren eines DC mit dem Fehler
Die EventIDs, die angeben, dass ein Domänencontroller das Update, aber nicht den Fix hat, umfassen
| Ereignisquelle | Kdcsvc |
| Ereignis-ID | 35 |
| Ereignistext | Das Key Distribution Center (KDC) hat ein Ticket-Granting-Ticket (TGT) von einem anderen KDC („ “), die kein PAC-Attributfeld enthielt. |
| Ereignisquelle | Kdcsvc |
| Ereignis-ID | 36 |
| Ereignistext | Das Key Distribution Center (KDC) ist auf ein Ticket gestoßen, das kein PAC enthielt, während es eine Anfrage für ein anderes Ticket verarbeitete. Dies verhinderte die Ausführung von Sicherheitsüberprüfungen und konnte Sicherheitslücken öffnen. Klient: \ Eintrittskarte für: |
| Ereignisquelle | Kdcsvc |
| Ereignis-ID | 37 |
| Ereignistext | Das Key Distribution Center (KDC) ist auf ein Ticket gestoßen, das keine Informationen über das Konto enthielt, das das Ticket angefordert hat, während eine Anfrage für ein anderes Ticket bearbeitet wurde. Dies verhinderte die Ausführung von Sicherheitsüberprüfungen und konnte Sicherheitslücken öffnen. Ticket-PAC erstellt von: Klient: \ Eintrittskarte für: |
| Ereignis-ID | 38 |
| Ereignistext | Das Key Distribution Center (KDC) ist auf ein Ticket gestoßen, das widersprüchliche Informationen über das Konto enthielt, das das Ticket angefordert hat. Dies könnte bedeuten, dass das Konto seit Ausstellung des Tickets umbenannt wurde, was möglicherweise Teil eines versuchten Exploits war. Ticket-PAC erstellt von: Klient: \ Eintrittskarte für: Konto-SID von Active Directory anfordern: Konto-SID von Ticket anfordern: |
Im Gegensatz zu einigen Fehlern in Microsoft-Patches/Updates sind Sie hiervon nicht betroffen. Sie werden beeinträchtigt, wenn Sie SSO verwenden und die Windows-Updates installieren, ohne den Patch zu installieren, um das Problem zu beheben.
Wenn Sie bei der Verwendung von SSO leere Freigaben finden, während Anmeldungen mit Domänenanmeldeinformationen Freigaben anzeigen, überprüfen Sie zunächst, ob dies der Fall ist Delegierung richtig aktiviert. Wenn die Delegierung korrekt aktiviert ist, überprüfen Sie Ihren Domänencontroller, um festzustellen, ob die mit dem Update verknüpfte KB installiert ist. Installieren Sie in diesem Fall die Patches, um das Problem zu beheben.
