[Update 20.05.22]: Microsoft hat jetzt für alle betroffenen Systeme ein kumulatives bzw. Standalone Update bereitgestellt. Alle weiteren Infos und Links zu den Updates erfahrt ihr hier in diesem Beitrag
[Original 12.05.22]: Mal kurz informiert: Microsoft hat einen neuen Fehler beschrieben, der alle Windows-Versionen betrifft. Es werden möglicherweise Authentifizierungsfehler auf dem Server oder Client für Dienste angezeigt. Davon ausgenommen sind Windows-Clientgeräte und Windows-Server ohne Domänencontroller. Also ganz normale Installationen.
„Nach der Installation von Updates, die am 10. Mai 2022 auf Ihren Domänencontrollern veröffentlicht wurden, kann es zu Authentifizierungsfehlern auf dem Server oder Client für Dienste wie Network Policy Server (NPS), Routing and Remote Access Service (RRAS), Radius, Extensible Authentication Protocol (EAP) und Protected Extensible Authentication Protocol (PEAP) kommen. Es wurde ein Problem gefunden, das mit der Art und Weise zusammenhängt, wie die Zuordnung von Zertifikaten zu Computerkonten durch den Domänencontroller gehandhabt wird.“
Microsoft ist dabei das Problem zu untersuchen. Es wurde aber ein Workaround bereitgestellt, mit dem man dieses Problem umgehen kann. Es hilft die manuelle Zuordnung von Zertifikaten zu einem Computerkonto in der Active Directory. Siehe auch hier oder hier. Jeder andere Workaround, der angewendet wird, kann die Sicherheitsabsicherung verringern oder deaktivieren.
ist ja was ganz Neues, dass die Updates verbocken. 🙄
gepostet mit der Deskmodder.de-App für iOS
Jupp. Wie immer wird nur gemosert, wenn etwas nicht passt. Von 100 Updates sind 5 Fehlerhaft, aber bei klingt es so, das Microsoft jedes Update verbockt. Aber hey, kannst dich ja bei Microsoft bewerben und es besser machen, wenn du immer so schlaue Sprüche hast
Das ist wie mit der langsamsten Schlange an der Kasse (in der man gefühlt IMMER steht),
Man erinnert sich nur an die langsamen, weil es genervt hat.
Wenn mal schnell ging, regt man sich nicht auf und vergisst es.
Dieses Mal hat Microsoft sogar die Xbox Updates verhauen sodass sie ein paar Tage später noch mal ein Update raus bringen mussten.
Hauptsache so viele Fehler einbauen wie möglich anders verstehe ich die Updates nicht mehr…
AD, DNS, DHCP, VNC und RDP machen Probleme
Wieso AD, DHCP, RDP und DNS? Gibt es da irgendwelche Belege für? Eigene Erfahrung? Ich denke, es betrifft nur NPS in Verbindung mit Zertifikats-Auth. bzw. in Verbindung mit der RAS Einwahl (wenn diese Zertifikats-basiert ist) ?
Weisst Du etwa mehr?
Das war jetzt nicht speziell auf dieses Update bezogen… aber im allgemeinen sind es immer wieder die gleichen Probleme nach einem Update.
Das mit den Zertifikats-Auth ist auch wieder große Schei**. In einer Umgebung mit nur wenigen Arbeitsplätzen kann man das händisch ändern aber wenn man hunderte oder gar tausende hat sieht das schon recht bescheiden aus.
Warum so nebulös.
Sie hätten auf den Change referenzieren können damit es nicht wie ein Fehlverhalten aussieht, wie hier manche meinen.
https://techcommunity.microsoft.com/t5/security-compliance-and-identity/detecting-dnshostname-spoofing-with-microsoft-defender-for/ba-p/3352349
https://research.ifcr.dk/certifried-active-directory-domain-privilege-escalation-cve-2022-26923-9e098fe298f4
gepostet mit der Deskmodder.de-App für Android
Ehm sorry aber versteh ich irgendwas nicht gerade. Gemäß https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16. heisst es ja, dass das Ding nach installieren im Compat Mode ist, was für mich bedeuten würde, alles läuft wie bisher. Tut es aber nicht. Bei uns hab ich jetzt kein Mapping gemacht, sondern für die 802.1x betroffenen Computer ein neues PKI Template wo neben Subject = Common Name und Subject alternate name = DNS zusätzlich der UPN als Subject alternate name gesetzt wird. Wird so gar befüllt und schwupps funktioniert 802.1x wieder. Hab ich nun ein Sec Issue aufgerissen oder muss ich tatsächlich bei meine paar Hundert Computer Accounts für 802.1x certmapping durch führen? Wie stellt sich Microsoft da autoenrollment vor?
Vielleicht wärs ja sinnvoller gewesen anderweitig im AD zu verhindern, dass jemand überhaupt solchen unfug in diverse attribute schreiben kann, weil die vielleicht doch AD weit unique sein sollten.
Mal eine Frage : beziehen sich auch diese Probleme auf das ARM – System (Windowsphone Win 8,1 und 10) Frage das… Weil ich damit heute noch täglich arbeite.
Mfg. R. Arndt
Win Mobile bekommt doch gar keine Updates mehr.