После которого 37 предуреждения превратились в ошибки и пользователи перестали авторизовываться.
Центр распространения ключей (KDC) при обработке запроса для другого билета обнаружил билет, который не содержал сведений об учетной записи, запросившей билет. Это не позволило выполнить проверки безопасности и могло создать уязвимости для системы безопасности. Дополнительные сведения см. на странице https://go.microsoft.com/fwlink/?linkid=2173051.
The Key Distribution Center (KDC) encountered a ticket that did not contain information about the account that requested the ticket while processing a request for another ticket. This prevented security checks from running and could open security vulnerabilities. See https://go.microsoft.com/fwlink/?linkid=2173051 to learn more.
1. Ключи HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc PacRequestorEnforcement больше не работают.
(Updated) October 11, 2022: Enforcement phase - обновление которое переводит значение ключа PacRequestorEnforcement в 2 вне зависимости от выставленного ключа реестра.
Единственное решение: 1. Обновлять все DC. 2. Ошибки будут продолжаться, но по истечению 7 дней (билеты Kerberos имеют срок службы до 7 дней по умолчанию в конфигурациях DC) - это старые билеты. 3. Если проблема фатальная то удалите обновление (KB5018419) - ошибки опять превратяться в предупреждения. - дообновите все DC (обновлением которое было ) https://support.microsoft.com/en-us/topic/kb5008380-authentication-updates-cve-2021-42287-9dafac11-e0d0-4cb8-959a-143bd0201041 (November 9, 2021: Initial deployment phase) - подождите 7 дней и обновите KB5018419
Дополню если у вас случилась проблема: The Key Distribution Center (KDC) encountered a ticket that did not contain information about the account that requested the ticket while processing a request for another ticket. This prevented security checks from running and could open security vulnerabilities. See https://go.microsoft.com/fwlink/?linkid=2173051 to learn more.
Вы обновлили AD (как я описал решение выше), но ошибка никуда не пропала т.к керберос билет действует 5 дней. можно сбросить тикета Kerberos на клиенте: klist -li 0:0x3e7 purge gpupdate /force reboot
upd: Быстро фикс после обновление АД, подсоединяйтесь к нужному серверу по IP (если до этого по имени), тогда переполучите билет.
«После установки обновлений, выпущенных 8 ноября 2022 года или позже, на серверах Windows с ролью контроллера домена у вас могут возникнуть проблемы с аутентифкацией Kerberos, — пояснили в Microsoft. — При возникновении проблемы, вы можете получить ошибку Microsoft-Windows-Kerberos-Key-Distribution-Centerс идентификатором Event ID 14 в разделе System журнала событий на вашем контроллере домена».
В логах такие ошибки помечены ключевой фразой «the missing key has an ID of 1».
Проблема может проявляться в ходе следующих сценариев использования аутентификации Kerberos , но не ограничивается ими.
Вход пользователя домена может завершиться ошибкой. Это также может влиять на аутентификацию Active Directory Federation Services (AD FS). Аутентификация может не работать при использовании Group Managed Service Accounts (gMSA) для таких служб, как Internet Information Services (IIS Web Server). Подключения к удаленному рабочему столу с использованием пользователей домена могут не работать. Возможны проблемы с получением доступа к общим папкам на рабочих станциях и файловым ресурсам на серверах. Печать, требующая аутентификации пользователя домена, может завершаться с ошибкой.
Наконец то вышло обновление которое РЕШАЕТ эту проблему:
Решение. Эта проблема была решена во внеплановых обновлениях, выпущенных 17 ноября 2022 г. и 18 ноября 2022 г. для установки на все контроллеры домена (DC) в вашей среде. Вам не нужно устанавливать какие-либо обновления или вносить какие-либо изменения в другие серверы или клиентские устройства в вашей среде, чтобы решить эту проблему. Если вы использовали какие-либо обходные пути или способы устранения этой проблемы, они больше не нужны, и мы рекомендуем вам их удалить.
Примечание. Перед установкой этих накопительных обновлений не требуется применять какое-либо предыдущее обновление. Если вы уже установили обновления, выпущенные 8 ноября 2022 г., вам не нужно удалять затронутые обновления перед установкой любых более поздних обновлений, включая обновления, перечисленные выше.
Standalone Updates:
Windows Server 2012 R2: KB5021653 Windows Server 2012: KB5021652 Windows Server 2008 R2 SP1: KB5021651 (released November 18, 2022) Windows Server 2008 SP2: KB5021657
Примечание. Если вы используете только обновления безопасности для этих версий Windows Server, вам нужно установить эти автономные обновления только за ноябрь 2022 года. Обновления только безопасности не являются накопительными, и вам также потребуется установить все предыдущие обновления только безопасности. быть полностью обновленным. Ежемесячные накопительные обновления являются накопительными и включают в себя обновления безопасности и все исправления. Если вы используете ежемесячные накопительные обновления, вам потребуется установить как перечисленные выше автономные обновления, чтобы решить эту проблему, так и установить ежемесячные накопительные пакеты, выпущенные 8 ноября 2022 г., чтобы получать качественные обновления за ноябрь 2022 г. Если вы уже установили выпущенные обновления 8 ноября 2022 г. вам не нужно удалять уязвимые обновления перед установкой любых более поздних обновлений, включая обновления, перечисленные выше.
Обновил несколько КД в своей среде, три полноценных 2012R2 и один RO 2019й. После обновления на обычных КД примерно 2 раза в сутки регистрируются ошибки с id=18 - During TGS processing, the KDC was unable to verify the signature on the PAC from DC-RO$, т.е какой-то косяк с КД read-only. Каких-то проблем с доступами не замечаю, чем вызваны эти ошибки пока не разобрался.