Hoe kunnen we u vandaag helpen?

Lege aandelen met SSO-aanmelding veroorzaakt door Windows Update

U bent hier:
< Terug

Dit incident deed zich voor in november 2011, met een patch eind november en definitieve fixes in de roll-up releases voor december en januari. Vanaf de zomer van 2022 hebben zich geen incidenten meer voorgedaan en worden er ook geen verwacht, aangezien de updates die dit veroorzaakten niet langer actueel zijn.

We bewaren dit artikel voor archiveringsdoeleinden, maar het is geen actief incident of een veelvoorkomende oorzaak van problemen met delen met MyWorkDrive.

Opmerking: Microsoft heeft een oplossing uitgebracht met de cumulatieve update van december

Volgens de Micosoft Update-catalogus is de out-of-band update KB5008601 (2016) vervangen door de december CU KB5008207. Out-of-band update KB5008602 (2019) is vervangen door CU KB5008218 van december. U kunt dus de out-of-band-update overslaan en direct doorgaan naar de cumulatieve update van december.

Als u de update van november hebt geïnstalleerd en problemen ondervindt bij het inloggen met SSO, lost de CU van december het probleem op.

Als u geen updates hebt geïnstalleerd, zal de CU van december de update leveren zonder een probleem te veroorzaken voor SSO-aanmeldingen.

 

Probleembeschrijving:

Een update die op 9 november door Microsoft werd uitgebracht als onderdeel van Patch Tuesday, bevatte een fout die de Kerberos-verificatie brak, die door veel SSO-producten wordt gebruikt, waaronder MyWorkDrive wanneer de update wordt geïnstalleerd op domeincontrollers. Het was een reactie op CVE-2021-42287

Getroffen clients zullen bij aanmeldingen van Web Clients zien dat er na het inloggen geen beschikbare shares meer zijn, en Map Drive-clients die niet inloggen en de foutmelding "No Shares Provisioned" of een "User Not Found"-fout melden (afhankelijk van de Map Drive-clientversie).

 

Details over de fout en foutoplossing zijn hier beschikbaar
https://docs.microsoft.com/en-us/windows/release-health/status-windows-10-1809-and-windows-server-2019#2748msgdesc

 

Het probleem is alleen aanwezig wanneer de update is geïnstalleerd op Domeincontrollers. Installeren/verwijderen van MyWorkDrive-servers en bestandsservers heeft geen invloed op het probleem.

 

Bijgewerkte patches zijn op 14 november uitgebracht om het probleem in de eerdere gebrekkige updates op te lossen en zouden op domeincontrollers moeten worden geïnstalleerd. Ze moeten handmatig worden gedownload en geïnstalleerd, ze worden niet geleverd door Microsoft Update.

KB5008602 voor Server 2019:

https://docs.microsoft.com/en-ca/windows/release-health/status-windows-10-1809-and-windows-server-2019#2748msgdesc

KB5008601 voor server 2016:

https://docs.microsoft.com/en-ca/windows/release-health/status-windows-10-1607-and-windows-server-2016#2748msgdesc

 

De originele updates die het probleem veroorzaken zijn:

KB5007206 voor server 2019.
https://support.microsoft.com/en-us/topic/november-9-2021-kb5007206-os-build-17763-2300-c63b76fa-a9b4-4685-b17c-7d866bb50e48

KB5007192 voor server 2016
https://support.microsoft.com/en-us/topic/november-9-2021-kb5007192-os-build-14393-4770-f534a33a-ed00-4bd2-8248-9424c53e9bde

Als een van beide op uw domeincontrollers is geïnstalleerd, moet u deze verwijderen of de hierboven gelinkte patch installeren om het probleem te verhelpen.

 

Als uw domeincontrollers niet 2016/2019 zijn, vindt u hier links voor de update en patch voor andere versies van Windows:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42287

Server 2008, 2008r2, 2012 en 2012r2 worden allemaal getroffen.

 

Een DC identificeren met de bug

De EventID's die aangeven dat een Domain Controller de update heeft, maar niet de fix, bevatten

https://support.microsoft.com/en-gb/topic/kb5008380-authentication-updates-cve-2021-42287-9dafac11-e0d0-4cb8-959a-143bd0201041

35
Bron van gebeurtenis
Kdcsvc
Evenement-ID
35
Evenement tekst
Het Sleuteldistributiecentrum (KDC) trof een ticket-granting-ticket (TGT) aan van een ander KDC (“ ”) die geen veld met PAC-attributen bevatte.
36
Bron van gebeurtenis
Kdcsvc
Evenement-ID
36
Evenement tekst
Het Key Distribution Center (KDC) kwam een ticket tegen dat geen PAC bevatte tijdens het verwerken van een aanvraag voor een ander ticket. Dit verhinderde het uitvoeren van beveiligingscontroles en kon beveiligingsproblemen veroorzaken.
Cliënt: \
Kaartje voor:
37
Bron van gebeurtenis
Kdcsvc
Evenement-ID
37
Evenement tekst
Het Key Distribution Center (KDC) heeft een ticket aangetroffen dat geen informatie bevat over het account dat het ticket heeft aangevraagd tijdens het verwerken van een aanvraag voor een ander ticket. Dit verhinderde het uitvoeren van beveiligingscontroles en kon beveiligingsproblemen veroorzaken.
Ticket PAC gebouwd door:
Cliënt: \
Kaartje voor:
38
Evenement-ID
38
Evenement tekst
Het Key Distribution Center (KDC) heeft een ticket aangetroffen met inconsistente informatie over het account dat het ticket heeft aangevraagd. Dit kan betekenen dat het account is hernoemd sinds het ticket is uitgegeven, wat mogelijk deel uitmaakte van een poging tot misbruik.
Ticket PAC gebouwd door:
Cliënt: \
Kaartje voor:
Account-SID aanvragen vanuit Active Directory:
Account-SID van Ticket aanvragen:

In tegenstelling tot sommige fouten in Microsoft-patches/updates, is dit niet het geval dat u mogelijk wordt beïnvloed. U wordt getroffen als u SSO gebruikt en de Windows Updates installeert zonder de patch te installeren om het probleem te verhelpen.

Als u lege gedeelde mappen aantreft bij het gebruik van SSO, terwijl aanmeldingen voor domeinreferenties gedeelde gegevens weergeven, controleert u eerst of u: correct ingeschakelde delegatie. Als Delegatie correct is ingeschakeld, controleer dan nogmaals uw domeincontroller om te zien of de KB die aan de update is gekoppeld, is geïnstalleerd. Zo ja, installeer dan de patches om het probleem op te lossen.