daabm 1.357 Geschrieben 15. November 2022 Melden Teilen Geschrieben 15. November 2022 Mahlzeit. Wen hat's da denn sonst noch so erwischt? Bei uns hat's unternehmensweit Kerberos zerlegt, bis wir die SupportedEncryptionTypes für alle Computer/User/Service-Accounts auf 28 gesetzt haben (RC4/AES128/AES256)... Und alle Dokus im Netz (dirteam.com und MS KB) passen nicht zu unserem Fehlerbild. Und wir üben grad, wie man das Attribut aktualisiert für etwa 4 Millionen Accounts... (In mehreren Domains, aber trotzdem - #grütze Microsoft). Zitieren Link zu diesem Kommentar
NorbertFe 2.050 Geschrieben 15. November 2022 Melden Teilen Geschrieben 15. November 2022 vor 2 Minuten schrieb daabm: Bei uns hat's unternehmensweit Kerberos zerlegt Wie hat sich das denn gezeigt? Fällt vermutlich in einer Kerberos-only Umgebung deutlich schneller auf als in einer wo NTLM als Fallback noch läuft, oder? Zitieren Link zu diesem Kommentar
daabm 1.357 Geschrieben 15. November 2022 Autor Melden Teilen Geschrieben 15. November 2022 Oh ja, NTLM-Blocking ist ein echtes Abenteuer. HyperV-Cluster nicht mehr verwaltbar, Authentifizierung an Services nicht mehr möglich, das Identity Management (das mit Service Account und Keytab arbeitet) geht auf die Bretter. Ein Heidenspaß... Unsere Kunden haben btw. nichts davon mitbekommen - die laufen alle noch mit NTLM-Fallback. Zitieren Link zu diesem Kommentar
da_flo 11 Geschrieben 15. November 2022 Melden Teilen Geschrieben 15. November 2022 Wir hatten ein ähnliches Thema im Januar. Zum Glück hatten wir uns mit diesem Thema im Vorfeld beschäftigt. Deshalb immer die Microsoft KBs und Windows EventLogs genau lesen. Ihr müsst folgendes tun: - per GPO alle alte unsichere Kerberos Typen sperren. - alle Service, User Accounts Kerberos Support aktivieren (PowerShell hilft) und im Attribut msDS-SupportedEncryptionTypes muss 24 sein - Das Kennwort des KRBTGT Accounts neu setzten siehe https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/decrypting-the-selection-of-supported-kerberos-encryption-types/ba-p/1628797 Zitieren Link zu diesem Kommentar
NorbertFe 2.050 Geschrieben 15. November 2022 Melden Teilen Geschrieben 15. November 2022 vor 19 Minuten schrieb daabm: HyperV-Cluster nicht mehr verwaltbar, Dazu hatte ich ja neulich einen Thread aufgemacht, aber das war noch vor den November Updates. Ich hatte übrigens heute einen anderen "netten" Fehler mit CVE-2021-42287. Das hatten wir vor Monaten auf 2 gesetzt und gefühlt seit Oktober (das war ja angekündigt) liefen die GPOs auf den DCs nicht mehr alle. Aufgefallen ist das, weil per GPO auf dem PDC Emulator der falsche Zeitserver (auf Domain Root auf NT5DS) ankam, anstatt der entsprechende NTP Server. Policy auf nicht konfiguriert gesetzt Fehler weg Zeit wieder in Ordnung. :/ Nervt aktuell richtig, wenn ich auch an das aktuelle Problem mit DirectAccess denke. Bye Norbert Zitieren Link zu diesem Kommentar
MurdocX 952 Geschrieben 18. November 2022 Melden Teilen Geschrieben 18. November 2022 Das Out of Band Update gegen den Bug ist draußen https://learn.microsoft.com/en-us/windows/release-health/windows-message-center#2961 2 Zitieren Link zu diesem Kommentar
NorbertFe 2.050 Geschrieben 18. November 2022 Melden Teilen Geschrieben 18. November 2022 (bearbeitet) War/ist Windows 2022 nicht davon betroffen? In der Liste stehen nur 2012R2, 2016 und 2019. Edit: Ich muss wohl erst die Tasse Kaffee austrinken. Sorry, habs gefunden. bearbeitet 18. November 2022 von NorbertFe Zitieren Link zu diesem Kommentar
daabm 1.357 Geschrieben 18. November 2022 Autor Melden Teilen Geschrieben 18. November 2022 vor 7 Stunden schrieb NorbertFe: Ich muss wohl erst die Tasse Kaffee austrinken. Ja, Kaffee holen reicht nicht, Du mußt ihn schon auch benutzen 2 Zitieren Link zu diesem Kommentar
MurdocX 952 Geschrieben 18. November 2022 Melden Teilen Geschrieben 18. November 2022 Hat den Patch schon jemand eingespielt und möchte seine Erfahrungen teilen? Zitieren Link zu diesem Kommentar
NorbertFe 2.050 Geschrieben 18. November 2022 Melden Teilen Geschrieben 18. November 2022 Ja auf zwei 2022 dcs. Hab noch keine Probleme festgestellt (aber auch nicht danach gesucht). Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.