Ваша корзина пуста

[РЕШЕНО]Error 37 Kerberos-Key-Distribution-Center билета обнаружил билет, который не содержал сведений об учетной записи, запросившей билет

Guest

17.10.2022 13:08:20

НА DC установилось обновление: KB5018419
https://msrc.microsoft.com/update-guide/vulnerability/ADV990001

После которого 37 предуреждения превратились в ошибки и пользователи перестали авторизовываться.

Центр распространения ключей (KDC) при обработке запроса для другого билета обнаружил билет, который не содержал сведений об учетной записи, запросившей билет. Это не позволило выполнить проверки безопасности и могло создать уязвимости для системы безопасности. Дополнительные сведения см. на странице https://go.microsoft.com/fwlink/?linkid=2173051.

Кем сформирован PAC билета: DС
Клиент: domain.LOCAL\\user1
Билет для: krbtgt
--

Ошибка с другого домена.

The Key Distribution Center (KDC) encountered a ticket that did not contain information about the account that requested the ticket while processing a request for another ticket. This prevented security checks from running and could open security vulnerabilities. See https://go.microsoft.com/fwlink/?linkid=2173051 to learn more.

Ticket PAC constructed by: DC2
Client: domain.LOCAL\\user1
Ticket for: krbtgt

https://support.microsoft.com/en-us/topic/kb5008380-authentication-updates-cve-2021-42287-9dafac11-e0d0-4cb8-959a-143bd0201041

Цитировать Имя

Системный Администратор - Филиппов Денис

Administrator

Сообщений: 723 Баллов: 8901 Рейтинг: 0 Регистрация: 09.02.2011

17.10.2022 13:16:12

1. Ключи HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc PacRequestorEnforcement больше не работают.

(Updated) October 11, 2022: Enforcement phase - обновление которое переводит значение ключа PacRequestorEnforcement в 2 вне зависимости от выставленного ключа реестра.

Единственное решение:
1. Обновлять все DC.
2. Ошибки будут продолжаться, но по истечению 7 дней (билеты Kerberos имеют срок службы до 7 дней по умолчанию в конфигурациях DC) - это старые билеты.
3. Если проблема фатальная то удалите обновление (KB5018419) - ошибки опять превратяться в предупреждения. - дообновите все DC (обновлением которое было )
https://support.microsoft.com/en-us/topic/kb5008380-authentication-updates-cve-2021-42287-9dafac11-e0d0-4cb8-959a-143bd0201041 (November 9, 2021: Initial deployment phase) - подождите 7 дней и обновите KB5018419

Услуги Системного Администратора - Работаю только с Юр. Лицами по договору обслуживания.

Цитировать Имя

Системный Администратор - Филиппов Денис

Administrator

Сообщений: 723 Баллов: 8901 Рейтинг: 0 Регистрация: 09.02.2011

11.11.2022 11:41:43

Дополню если у вас случилась проблема:
The Key Distribution Center (KDC) encountered a ticket that did not contain information about the account that requested the ticket while processing a request for another ticket. This prevented security checks from running and could open security vulnerabilities. See https://go.microsoft.com/fwlink/?linkid=2173051 to learn more.

Вы обновлили AD (как я описал решение выше), но ошибка никуда не пропала т.к керберос билет действует 5 дней.
можно сбросить тикета Kerberos на клиенте:
klist -li 0:0x3e7 purge
gpupdate /force
reboot

upd: Быстро фикс после обновление АД, подсоединяйтесь к нужному серверу по IP (если до этого по имени), тогда переполучите билет.

Услуги Системного Администратора - Работаю только с Юр. Лицами по договору обслуживания.

Цитировать Имя

Системный Администратор - Филиппов Денис

Administrator

Сообщений: 723 Баллов: 8901 Рейтинг: 0 Регистрация: 09.02.2011

17.11.2022 15:32:29

«После установки обновлений, выпущенных 8 ноября 2022 года или позже, на серверах Windows с ролью контроллера домена у вас могут возникнуть проблемы с аутентифкацией Kerberos, — пояснили в Microsoft. — При возникновении проблемы, вы можете получить ошибку Microsoft-Windows-Kerberos-Key-Distribution-Centerс идентификатором Event ID 14 в разделе System журнала событий на вашем контроллере домена».

В логах такие ошибки помечены ключевой фразой «the missing key has an ID of 1».

Проблема может проявляться в ходе следующих сценариев использования аутентификации Kerberos , но не ограничивается ими.

Вход пользователя домена может завершиться ошибкой. Это также может влиять на аутентификацию Active Directory Federation Services (AD FS).
Аутентификация может не работать при использовании Group Managed Service Accounts (gMSA) для таких служб, как Internet Information Services (IIS Web Server).
Подключения к удаленному рабочему столу с использованием пользователей домена могут не работать.
Возможны проблемы с получением доступа к общим папкам на рабочих станциях и файловым ресурсам на серверах.
Печать, требующая аутентификации пользователя домена, может завершаться с ошибкой.

https://learn.microsoft.com/en-us/windows/release-health/status-windows-11-22h2#2953msgdesc
Так что проблема НЕ РЕШЕНА!

Услуги Системного Администратора - Работаю только с Юр. Лицами по договору обслуживания.

Цитировать Имя

Системный Администратор - Филиппов Денис

Administrator

Сообщений: 723 Баллов: 8901 Рейтинг: 0 Регистрация: 09.02.2011

22.11.2022 14:27:01

Наконец то вышло обновление которое РЕШАЕТ эту проблему:

Решение. Эта проблема была решена во внеплановых обновлениях, выпущенных 17 ноября 2022 г. и 18 ноября 2022 г. для установки на все контроллеры домена (DC) в вашей среде. Вам не нужно устанавливать какие-либо обновления или вносить какие-либо изменения в другие серверы или клиентские устройства в вашей среде, чтобы решить эту проблему. Если вы использовали какие-либо обходные пути или способы устранения этой проблемы, они больше не нужны, и мы рекомендуем вам их удалить.

Cumulative updates:

Windows Server 2022: KB5021656
Windows Server 2019: KB5021655
Windows Server 2016: KB5021654

Примечание. Перед установкой этих накопительных обновлений не требуется применять какое-либо предыдущее обновление. Если вы уже установили обновления, выпущенные 8 ноября 2022 г., вам не нужно удалять затронутые обновления перед установкой любых более поздних обновлений, включая обновления, перечисленные выше.

Standalone Updates:

Windows Server 2012 R2: KB5021653
Windows Server 2012: KB5021652
Windows Server 2008 R2 SP1: KB5021651 (released November 18, 2022)
Windows Server 2008 SP2: KB5021657

Примечание. Если вы используете только обновления безопасности для этих версий Windows Server, вам нужно установить эти автономные обновления только за ноябрь 2022 года. Обновления только безопасности не являются накопительными, и вам также потребуется установить все предыдущие обновления только безопасности. быть полностью обновленным. Ежемесячные накопительные обновления являются накопительными и включают в себя обновления безопасности и все исправления. Если вы используете ежемесячные накопительные обновления, вам потребуется установить как перечисленные выше автономные обновления, чтобы решить эту проблему, так и установить ежемесячные накопительные пакеты, выпущенные 8 ноября 2022 г., чтобы получать качественные обновления за ноябрь 2022 г. Если вы уже установили выпущенные обновления 8 ноября 2022 г. вам не нужно удалять уязвимые обновления перед установкой любых более поздних обновлений, включая обновления, перечисленные выше.

Услуги Системного Администратора - Работаю только с Юр. Лицами по договору обслуживания.

Цитировать Имя

Bublon Guest	0 #6 28.12.2022 11:02:49 Спасибо за статью! Если обновления не будут ставятся обновы, то нужно удалить старые накопительные обновления.
	Цитировать Имя

Alex Guest	0 #7 01.09.2023 09:50:11 Обновил несколько КД в своей среде, три полноценных 2012R2 и один RO 2019й. После обновления на обычных КД примерно 2 раза в сутки регистрируются ошибки с id=18 - During TGS processing, the KDC was unable to verify the signature on the PAC from DC-RO$, т.е какой-то косяк с КД read-only. Каких-то проблем с доступами не замечаю, чем вызваны эти ошибки пока не разобрался.
	Цитировать Имя

BBCode Правила

Форма ответов

Логин:
Пароль:
	Запомнить меня на этом компьютере

Забыли свой пароль?
Регистрация