Como podemos te ajudar hoje?
Compartilhamentos em branco com logon SSO causados pelo Windows Update
Este incidente ocorreu em novembro de 2011, com um patch no final de novembro e correções finais nos lançamentos cumulativos de dezembro e janeiro. A partir do verão de 2022, nenhum outro incidente ocorreu nem é esperado, pois as atualizações que o causaram não são mais atuais.
Mantemos este artigo para fins de arquivamento, mas não é um incidente ativo nem uma causa comum de problemas de compartilhamento com o MyWorkDrive.
Observação: a Microsoft lançou uma correção com a atualização cumulativa de dezembro
De acordo com o Catálogo de Atualizações da Micosoft, a atualização fora de banda KB5008601 (2016) foi substituída pela CU KB5008207 de dezembro. A atualização fora de banda KB5008602 (2019) foi substituída por dezembro CU KB5008218. Portanto, você pode pular a atualização fora de banda e ir direto para a atualização cumulativa de dezembro.
Se você instalou a atualização de novembro e está tendo problemas ao fazer login com o SSO, a CU de dezembro resolverá o problema.
Se você não instalou nenhuma atualização, a CU de dezembro fornecerá a atualização sem causar problemas para logins de SSO.
Descrição do Problema
Uma atualização lançada pela Microsoft em 9 de novembro como parte do Patch Tuesday continha uma falha que quebrou a autenticação Kerberos, usada por muitos produtos SSO, incluindo MyWorkDrive, quando a atualização é instalada em controladores de domínio. Foi em resposta a CVE-2021-42287
Os clientes afetados terão logins do Web Client mostrando nenhum compartilhamento disponível após o login e os clientes Map Drive falhando ao fazer login e relatando "Nenhum compartilhamento provisionado" ou um erro "Usuário não encontrado" (dependendo da versão do cliente Map Drive).
Detalhes sobre a falha e a resolução da falha estão disponíveis aqui
https://docs.microsoft.com/en-us/windows/release-health/status-windows-10-1809-and-windows-server-2019#2748msgdesc
O problema só está presente quando a atualização é instalada em Controladores de domínio. A instalação/remoção de servidores MyWorkDrive e servidores de arquivos não tem relação com o problema.
Patches atualizados foram lançados em 14 de novembro para corrigir o problema nas atualizações anteriores com falhas e devem ser instalados nos controladores de domínio. Eles devem ser baixados e instalados manualmente, não são fornecidos pelo Microsoft Update.
KB5008602 para Servidor 2019:
KB5008601 para Servidor 2016:
As atualizações originais que causam o problema são:
KB5007206 para o servidor 2019.
https://support.microsoft.com/en-us/topic/november-9-2021-kb5007206-os-build-17763-2300-c63b76fa-a9b4-4685-b17c-7d866bb50e48
KB5007192 para servidor 2016
https://support.microsoft.com/en-us/topic/november-9-2021-kb5007192-os-build-14393-4770-f534a33a-ed00-4bd2-8248-9424c53e9bde
Se um deles estiver instalado em seus controladores de domínio, você precisará removê-los ou instalar o patch vinculado acima para corrigir o problema.
Se seus controladores de domínio não forem 2016/2019, links para atualização e patch para outras versões do Windows podem ser encontrados aqui:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42287
Server 2008, 2008r2, 2012 e 2012r2 são todos afetados.
Identificando um DC com o bug
Os EventIDs que indicam que um controlador de domínio tem a atualização, mas não a correção, incluem
| Origem do evento | KdcsvcGenericName |
| ID do evento | 35 |
| Texto do evento | O Centro de Distribuição de Chaves (KDC) encontrou um ticket de concessão de tíquete (TGT) de outro KDC (“ ”) que não continha um campo de atributos do PAC. |
| Origem do evento | KdcsvcGenericName |
| ID do evento | 36 |
| Texto do evento | O Key Distribution Center (KDC) encontrou um ticket que não continha um PAC ao processar uma solicitação para outro ticket. Isso impedia a execução de verificações de segurança e poderia abrir vulnerabilidades de segurança. Cliente: \ Bilhete para: |
| Origem do evento | KdcsvcGenericName |
| ID do evento | 37 |
| Texto do evento | O Key Distribution Center (KDC) encontrou um tíquete que não continha informações sobre a conta que solicitou o tíquete ao processar uma solicitação de outro tíquete. Isso impedia a execução de verificações de segurança e poderia abrir vulnerabilidades de segurança. Ticket PAC construído por: Cliente: \ Bilhete para: |
| ID do evento | 38 |
| Texto do evento | O Key Distribution Center (KDC) encontrou um ticket que continha informações inconsistentes sobre a conta que solicitou o ticket. Isso pode significar que a conta foi renomeada desde que o bilhete foi emitido, o que pode ter sido parte de uma tentativa de exploração. Ticket PAC construído por: Cliente: \ Bilhete para: Solicitando o SID da conta do Active Directory: Solicitando o SID da conta do ticket: |
Ao contrário de algumas falhas nos patches/atualizações da Microsoft, este não é o caso de você ser afetado. Você será impactado se usar o SSO e instalar as atualizações do Windows sem instalar o patch para corrigi-lo.
Se você encontrar compartilhamentos em branco ao usar o SSO, enquanto os logins de credenciais de domínio mostram compartilhamentos, primeiro verifique se você delegação habilitada corretamente. Se a delegação estiver habilitada corretamente, verifique novamente seu controlador de domínio para ver se o KB associado à atualização está instalado. Nesse caso, instale os Patches para resolver o problema.
