[РЕШЕНО]Error 37 Kerberos-Key-Distribution-Center билета обнаружил билет, который не содержал сведений об учетной записи, запросившей билет

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти
 
Страницы: 1
Ответить
[РЕШЕНО]Error 37 Kerberos-Key-Distribution-Center билета обнаружил билет, который не содержал сведений об учетной записи, запросившей билет
НА DC установилось обновление: KB5018419  
https://msrc.microsoft.com/update-guide/vulnerability/ADV990001

После которого 37 предуреждения превратились в ошибки и пользователи перестали авторизовываться.

Центр распространения ключей (KDC) при обработке запроса для другого билета обнаружил билет, который не содержал сведений об учетной записи, запросившей билет. Это не позволило выполнить проверки безопасности и могло создать уязвимости для системы безопасности. Дополнительные сведения см. на странице https://go.microsoft.com/fwlink/?linkid=2173051.

 Кем сформирован PAC билета: DС
 Клиент: domain.LOCAL\\user1
 Билет для: krbtgt
--

Ошибка с другого домена.

The Key Distribution Center (KDC) encountered a ticket that did not contain information about the account that requested the ticket while processing a request for another ticket. This prevented security checks from running and could open security vulnerabilities. See https://go.microsoft.com/fwlink/?linkid=2173051 to learn more.

 Ticket PAC constructed by: DC2
 Client: domain.LOCAL\\user1
 Ticket for: krbtgt



https://support.microsoft.com/en-us/topic/kb5008380-authentication-updates-cve-2021-42287-9dafac11-e0d0-4cb8-959a-143bd0201041
1. Ключи HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc  PacRequestorEnforcement больше не работают.

(Updated) October 11, 2022: Enforcement phase - обновление которое переводит значение ключа PacRequestorEnforcement в 2 вне зависимости от выставленного ключа реестра.

Единственное решение:
1. Обновлять все DC.
2. Ошибки будут продолжаться, но по истечению 7 дней (билеты Kerberos имеют срок службы до 7 дней по умолчанию в конфигурациях DC) - это старые билеты.
3. Если проблема фатальная то удалите обновление (KB5018419)  - ошибки опять превратяться в предупреждения. - дообновите все DC (обновлением которое было )
https://support.microsoft.com/en-us/topic/kb5008380-authentication-updates-cve-2021-42287-9dafac11-e0d0-4cb8-959a-143bd0201041 (November 9, 2021: Initial deployment phase)  - подождите 7 дней и обновите KB5018419
Услуги Системного Администратора - Работаю только с Юр. Лицами по договору обслуживания.
Дополню если у вас случилась проблема:
The Key Distribution Center (KDC) encountered a ticket that did not contain information about the account that requested the ticket while processing a request for another ticket. This prevented security checks from running and could open security vulnerabilities. See https://go.microsoft.com/fwlink/?linkid=2173051 to learn more.

Вы обновлили AD (как я описал решение выше), но ошибка никуда не пропала т.к керберос билет действует 5 дней.
можно сбросить тикета Kerberos на клиенте:
klist -li 0:0x3e7 purge
gpupdate /force
reboot


upd: Быстро фикс после обновление АД, подсоединяйтесь к нужному серверу по IP (если до этого по имени), тогда переполучите билет.
Услуги Системного Администратора - Работаю только с Юр. Лицами по договору обслуживания.
«После установки обновлений, выпущенных 8 ноября 2022 года или позже, на серверах Windows с ролью контроллера домена у вас могут возникнуть проблемы с аутентифкацией Kerberos, — пояснили в Microsoft. — При возникновении проблемы, вы можете получить ошибку Microsoft-Windows-Kerberos-Key-Distribution-Centerс идентификатором Event ID 14 в разделе System журнала событий на вашем контроллере домена».

В логах такие ошибки помечены ключевой фразой «the missing key has an ID of 1».

Проблема может проявляться в ходе следующих сценариев использования аутентификации Kerberos , но не ограничивается ими.

Вход пользователя домена может завершиться ошибкой. Это также может влиять на аутентификацию Active Directory Federation Services (AD FS).
Аутентификация может не работать при использовании Group Managed Service Accounts (gMSA) для таких служб, как Internet Information Services (IIS Web Server).
Подключения к удаленному рабочему столу с использованием пользователей домена могут не работать.
Возможны проблемы с получением доступа к общим папкам на рабочих станциях и файловым ресурсам на серверах.
Печать, требующая аутентификации пользователя домена, может завершаться с ошибкой.

https://learn.microsoft.com/en-us/windows/release-health/status-windows-11-22h2#2953msgdesc
Так что проблема НЕ РЕШЕНА!
Услуги Системного Администратора - Работаю только с Юр. Лицами по договору обслуживания.
Наконец то вышло обновление которое РЕШАЕТ эту проблему:

Решение. Эта проблема была решена во внеплановых обновлениях, выпущенных 17 ноября 2022 г. и 18 ноября 2022 г. для установки на все контроллеры домена (DC) в вашей среде. Вам не нужно устанавливать какие-либо обновления или вносить какие-либо изменения в другие серверы или клиентские устройства в вашей среде, чтобы решить эту проблему. Если вы использовали какие-либо обходные пути или способы устранения этой проблемы, они больше не нужны, и мы рекомендуем вам их удалить.

Cumulative updates:

​Windows Server 2022: KB5021656
​Windows Server 2019: KB5021655
​Windows Server 2016: KB5021654

Примечание. Перед установкой этих накопительных обновлений не требуется применять какое-либо предыдущее обновление. Если вы уже установили обновления, выпущенные 8 ноября 2022 г., вам не нужно удалять затронутые обновления перед установкой любых более поздних обновлений, включая обновления, перечисленные выше.

Standalone Updates:

​Windows Server 2012 R2: KB5021653
​Windows Server 2012: KB5021652
​Windows Server 2008 R2 SP1: KB5021651 (released November 18, 2022)
​Windows Server 2008 SP2: KB5021657

Примечание. Если вы используете только обновления безопасности для этих версий Windows Server, вам нужно установить эти автономные обновления только за ноябрь 2022 года. Обновления только безопасности не являются накопительными, и вам также потребуется установить все предыдущие обновления только безопасности. быть полностью обновленным. Ежемесячные накопительные обновления являются накопительными и включают в себя обновления безопасности и все исправления. Если вы используете ежемесячные накопительные обновления, вам потребуется установить как перечисленные выше автономные обновления, чтобы решить эту проблему, так и установить ежемесячные накопительные пакеты, выпущенные 8 ноября 2022 г., чтобы получать качественные обновления за ноябрь 2022 г. Если вы уже установили выпущенные обновления 8 ноября 2022 г. вам не нужно удалять уязвимые обновления перед установкой любых более поздних обновлений, включая обновления, перечисленные выше.
Услуги Системного Администратора - Работаю только с Юр. Лицами по договору обслуживания.
Спасибо за статью!
Если обновления не будут ставятся обновы, то нужно удалить старые накопительные обновления.
Обновил несколько КД в своей среде, три полноценных 2012R2 и один RO 2019й. После обновления на обычных КД примерно 2 раза в сутки регистрируются ошибки с id=18 - During TGS processing, the KDC was unable to verify the signature on the PAC from DC-RO$, т.е какой-то косяк с КД read-only. Каких-то проблем с доступами не замечаю, чем вызваны эти ошибки пока не разобрался.
Страницы: 1
Ответить
Форма ответов
 
Текст сообщения*
:) ;) :D 8-) :( :| :cry: :evil: :o :oops: :{} :?: :!: :idea:
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.