Специалисты Microsoft сообщают, что им уже известно о новой проблеме, из-за которой корпоративные контроллеры домена сбоят в случае использования аутентификации Kerberos, а также о других проблемах с аутентификацией, которые возникли после установки ноябрьских патчей.
Напомню, что протокол Kerberos уже давно заменил NTLM и стал протоколом аутентификации по умолчанию для устройств, подключенных к домену, во всех версиях Windows выше Windows 2000.
Bleeping Computer пишет, что сразу после выхода ноябрьских обновлений пользователи стали жаловаться на работу Kerberos «в ситуациях, когда вы установили параметры учетной записи на “Эта учетная запись поддерживает 256-битное шифрование Kerberos AES” или “Эта учетная запись поддерживает 128-битное шифрование Kerberos AES” (например, атрибут msDS-SupportedEncryptionTypes) в учетных записях пользователей в AD».
Как сообщают разработчики Microsoft, возникшая после обновлений проблема может повлиять на любой сценарий, связанный с аутентификацией Kerberos, в корпоративных средах.
«После установки обновлений, выпущенных 8 ноября 2022 года или позже, на серверах Windows с ролью контроллера домена у вас могут возникнуть проблемы с аутентифкацией Kerberos, — пояснили в Microsoft. — При возникновении проблемы, вы можете получить ошибку Microsoft-Windows-Kerberos-Key-Distribution-Centerс идентификатором Event ID 14 в разделе System журнала событий на вашем контроллере домена».
В логах такие ошибки помечены ключевой фразой «the missing key has an ID of 1».
Проблема может проявляться в ходе следующих сценариев использования аутентификации Kerberos , но не ограничивается ими.
- Вход пользователя домена может завершиться ошибкой. Это также может влиять на аутентификацию Active Directory Federation Services (AD FS).
- Аутентификация может не работать при использовании Group Managed Service Accounts (gMSA) для таких служб, как Internet Information Services (IIS Web Server).
- Подключения к удаленному рабочему столу с использованием пользователей домена могут не работать.
- Возможны проблемы с получением доступа к общим папкам на рабочих станциях и файловым ресурсам на серверах.
- Печать, требующая аутентификации пользователя домена, может завершаться с ошибкой.
Полный список затронутых багом платформ включает как клиентские, так и серверные версии.
- Клиенты: Windows 7 SP1, Windows 8.1, Windows 10 Enterprise LTSC 2019, Windows 10 Enterprise LTSC 2016, Windows 10 Enterprise 2015 LTSB, Windows 10 20H2 и новее, а также Windows 11 21H2 и новее.
- Серверы: Windows Server 2008 SP2 или более новой версии, включая последнюю версию Windows Server 2022.
В Microsoft заверили, что уже работают над исправлением этой проблемы и ожидают, что исправление выйдет «в ближайшие недели».