Fix fuer Kerberos Authentifizierungsprobleme Kerberos Key Distribution Center Error Event ID 14

Fix für Kerberos Authentifizierungsprobleme – Kerberos Key Distribution Center Error Event ID 14

Out-of-Band Update

Für folgende Systeme konnte Microsoft ein Cumulatives Update bzw. ein optionales Update bereitstellen. Über den Link Direktdownload könnt ihr den Fix für das jeweilige System direkt aus dem Microsoft Update Catalog herunterladen.

Out-of-Band Update

Fix für Kerberos Authentifizierungsprobleme Standalone Updates Out-of-Band Update

Kerberos Key Distribution Center Error Event ID 14

Es geht in diesem Artikel um das Problem welches mit dem 8. November 2022 Update in Verbindung steht. Die oben genannte Fixe sind nur auf den Domain Controllern zu installieren, bringen aber wie weiter unten beschrieben wird, weitere Probleme mit sich.

Fix für Kerberos Authentifizierungsprobleme - Kerberos Key Distribution Center Error Event ID 14

Known Issues

Achtung: Bei dem Fix für Windows Server 2019 gibt es ein bekanntes Problem, siehe Artikel KB5021655.

Nachtrag vom 26.11.2022

Nach der Installation der Sicherheitsupdates vom 8. November 2022 und der OOB-Updates vom 17./18. November 2022

  • KB5019966 – Server 2019
  • KB5019964 – Server 2016
  • KB5020023, KB5020010 – Server 2012 R2
  • KB5020009, KB5020003 – Server 2012
  • KB5020000, KB5020013 – Server 2008 R2 SP1
  • KB5021657 – Server 2008 SP2

auf Domänencontrollern (DCs) kann es zu einem Speicherverlust beim Local Security Authority Subsystem Service (LSASS) kommen. Abhängig von der Arbeitslast des Domänencontrollers und der Zeit seit dem letzten Neustart des Servers, kann LSASS die Speicherauslastung mit der Betriebszeit des Servers kontinuierlich erhöhen und der Server reagiert möglicherweise nicht mehr oder wird automatisch neu gestartet.

Das Problem mit dem LSASS-Speicherlecks (Local Security Authority Subsystem Service), kann auch dazu führen, das wenn dieser Dienst abstürtzt, angemeldete Benutzer ihren Zugriff verlieren.

LSASS ist für die Durchsetzung von Sicherheitsrichtlinien auf Windows Systemen verantwortlich und verwaltet die Erstellung von Zugriffstoken, Änderungen am Kennwort und Benutzeranmeldungen.

Einen Workaround für das LSASS-Problem und weitere Infos bekommt ihr unter diesem Link:

Possible memory leak in Local Security Authority Subsystem Service (LSASS,exe)

Fix für Kerberos Authentifizierungsprobleme

Hier einmal ein exemplarisches Beispiel das der Fix als solches, abgesehen von den neuen bekannten Problemen, funktioniert. Die Ausgangssituation ist, das der Domain Controller von der 8. November-Problematik betroffen ist und die gMSA-Accounts auf Encryption Type 24 eingestellt sind.

Folgene Warnung finden wir auf einem Clientsystem, sobald eine Authentifizierung mit einem Account versucht wird, der fest auf die AES-Encyption eingestellt ist.

Dieser Task z.B. lief gerade (vor dem Fix) noch gegen die Pumpe,

Task gMSA Account

und im Ereignisprotokoll stand diese Warnung. Auf dem DC würden wir die bereits oben gezeigte Fehlermeldung (Kerberos Key Distribution Center Error Event ID 14) vorfinden. Das Bild wende ich jetzt nicht noch einmal an, sonst wäre es doppelt vorhanden.

The Security System has detected a downgrade attempt when contacting the 3-part SPN

Die Installation des Cumulativen Updates (Windows Server 2022) behob das Problem auf den DCs.

Fix KB5021656 Windows Server 2022

Der oben gezeigte Task konnte wieder ordentlich ausgeführt werden und das Ereignisprotokoll war ohne Warnung- oder Fehlermeldung.

Task gMSA Account Encryption Type 24