Out-of-Band Update
Für folgende Systeme konnte Microsoft ein Cumulatives Update bzw. ein optionales Update bereitstellen. Über den Link Direktdownload könnt ihr den Fix für das jeweilige System direkt aus dem Microsoft Update Catalog herunterladen.
- Windows Server 2022 DC: KB5021656 Direktdownload
- Windows Server 2019 DC: KB5021655 Direktdownload
- Windows Server 2016 DC: KB5021654 Direktdownload
- Windows Server 2012 R2 DC: KB5021653 Direktdownload
- Windows Server 2012 DC: KB5021652 Direktdownload
- Windows Server 2008 SP2 DC: KB5021657 Direktdownload
- Windows Server 2008 R2 DC: KB5021651 Direktdownload
Kerberos Key Distribution Center Error Event ID 14
Es geht in diesem Artikel um das Problem welches mit dem 8. November 2022 Update in Verbindung steht. Die oben genannte Fixe sind nur auf den Domain Controllern zu installieren, bringen aber wie weiter unten beschrieben wird, weitere Probleme mit sich.
Known Issues
Achtung: Bei dem Fix für Windows Server 2019 gibt es ein bekanntes Problem, siehe Artikel KB5021655.
Nachtrag vom 26.11.2022
Nach der Installation der Sicherheitsupdates vom 8. November 2022 und der OOB-Updates vom 17./18. November 2022
- KB5019966 – Server 2019
- KB5019964 – Server 2016
- KB5020023, KB5020010 – Server 2012 R2
- KB5020009, KB5020003 – Server 2012
- KB5020000, KB5020013 – Server 2008 R2 SP1
- KB5021657 – Server 2008 SP2
auf Domänencontrollern (DCs) kann es zu einem Speicherverlust beim Local Security Authority Subsystem Service (LSASS) kommen. Abhängig von der Arbeitslast des Domänencontrollers und der Zeit seit dem letzten Neustart des Servers, kann LSASS die Speicherauslastung mit der Betriebszeit des Servers kontinuierlich erhöhen und der Server reagiert möglicherweise nicht mehr oder wird automatisch neu gestartet.
Das Problem mit dem LSASS-Speicherlecks (Local Security Authority Subsystem Service), kann auch dazu führen, das wenn dieser Dienst abstürtzt, angemeldete Benutzer ihren Zugriff verlieren.
LSASS ist für die Durchsetzung von Sicherheitsrichtlinien auf Windows Systemen verantwortlich und verwaltet die Erstellung von Zugriffstoken, Änderungen am Kennwort und Benutzeranmeldungen.
Einen Workaround für das LSASS-Problem und weitere Infos bekommt ihr unter diesem Link:
Possible memory leak in Local Security Authority Subsystem Service (LSASS,exe)
Fix für Kerberos Authentifizierungsprobleme
Hier einmal ein exemplarisches Beispiel das der Fix als solches, abgesehen von den neuen bekannten Problemen, funktioniert. Die Ausgangssituation ist, das der Domain Controller von der 8. November-Problematik betroffen ist und die gMSA-Accounts auf Encryption Type 24 eingestellt sind.
Folgene Warnung finden wir auf einem Clientsystem, sobald eine Authentifizierung mit einem Account versucht wird, der fest auf die AES-Encyption eingestellt ist.
Dieser Task z.B. lief gerade (vor dem Fix) noch gegen die Pumpe,
und im Ereignisprotokoll stand diese Warnung. Auf dem DC würden wir die bereits oben gezeigte Fehlermeldung (Kerberos Key Distribution Center Error Event ID 14) vorfinden. Das Bild wende ich jetzt nicht noch einmal an, sonst wäre es doppelt vorhanden.
Die Installation des Cumulativen Updates (Windows Server 2022) behob das Problem auf den DCs.
Der oben gezeigte Task konnte wieder ordentlich ausgeführt werden und das Ereignisprotokoll war ohne Warnung- oder Fehlermeldung.