none
Probleme seit Patchday März 2015 mit Auth an AD? RRS feed

  • Frage

  • Hallo!

    Hat jemand Probleme mit einem Windows 2003 AD Netzwerk seit dem heutigen Patchday (März 2015)?

    U.a haben wir Probleme beim Zugriff per Remote Desktop auf die IT Lösungen: Kennwort wird in einer endlosschleife bei der Anmeldung abgefragt.

    Ähnliche Problematik beim Zugriff per Outlook auf die Exchange Lösung.

    Logs und Diagnose (dcdiag, …) der AD zeigen keine Ungewöhnlichkeiten...

    Computer- und Benutzerkonten sind ebenfalls erreichbar bzw. in der AD sauber (netdom verify…).

    Viele Grüße

    PS: Windows 2003…jupp ist alt. Wir stecken in der Migration zu DC2012, haben diese aber noch nicht ausgerollt.


    Donnerstag, 12. März 2015 23:00

Antworten

Alle Antworten

  • Hallo, Kann ich so bestätigen! Ebenfalls gleiche DC Konstellation und gleiche Probleme. Alle Logs sauber etc. Momentan ist es ruhiger, haben schnell noch einen 2012R2 DC eingerichtet und die betroffenen Server auf diesem umgestellt. Morgen mal weiterforschen. Update : In den US Foren habe ich ähnliche Berichte über diese Probleme gefunden. Gruß Andre
    Freitag, 13. März 2015 00:04
  • Hi schaut Euch das mal an, KB3002657:

    It seems that the latest netlogon security update (KB3002657, AKA MS15-027) can cause some NTLM authentication failures. Typically you will see error code 0xc000006d with substatus 0x0 in event ID 4625  on application servers.

    Some issue has been fixed after uninstall all patches from File Server and DC;

    Some issue has been fixed after uninstall the below patch from 2003 DC;

    http://support.microsoft.com/kb/3002657/en-us

    Würde den Patch mal entfernen...

    Freitag, 13. März 2015 07:34
  • > Würde den Patch mal entfernen...
     
    Jepp. Gibt bereits mehrere Support Cases dazu. Den KB von allen DCs
    entfernen, dann klappt i.d.R. alles wieder.
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Freitag, 13. März 2015 08:04
  • Schön, dass ich nicht der einzige mit dem Problem bin. Danke für die Infos, habe nun auch KEINE Probleme mehr, nachdem der Patch von allen DCs runter ist. Aber wie gehts nun weiter? Der Patch wird ja von den Systemen benötigt. Soll man auf Kerberos umstellen? Oder hat man mit neueren DCs z.B. 2008 / 2012 diese Probleme nicht mehr?
    Freitag, 13. März 2015 09:32
  • > Schön, dass ich nicht der einzige mit dem Problem bin. Danke für die
    > Infos, habe nun auch KEINE Probleme mehr, nachdem der Patch von allen
    > DCs runter ist. Aber wie gehts nun weiter? Der Patch wird ja von den
     
    Da wird es wohl demnächst ein Update des KB geben...
     
    > Systemen benötigt. Soll man auf Kerberos umstellen? Oder hat man mit
    > neueren DCs z.B. 2008 / 2012 diese Probleme nicht mehr?
     
    Auch hier gibt es m.W. vereinzelte Issues mit NTLM-Auth.
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Freitag, 13. März 2015 10:07
  • Hallo Zusammen!

    Danke für die Infos.

    Werde heute Abend den Patch deinstallieren.

    Bekommen bei diesem Gedanke immer kalte Füße, da ich nicht weiß, wie sauber die Deinstallation abläuft (Abhängigkeiten, etc.).

    Viele Grüße
    Daniel

    Freitag, 13. März 2015 13:25
  • Hallo zusammen,

    wir haben genau das gleiche Problem. Wir haebn einen Dc 2003 und 2008 im einsatz.

    Nach der Deinstallation des KB3002657 ist die Anmeldung an den RDP-Servern wieder möglich.

    Könnte die Einrichtung eines weiteren DC mit 2012 das Problem ebenfalls beheben ?

    Montag, 16. März 2015 09:00
  • Hallo Christian,

    bei uns ist nach der Deinstallation auch wieder alles i.O.

    Aus der Not heraus habe ich, während noch nicht klar war was los ist, einen weiteren 2012R2 DC in die Domäne aufgenommen und zumindest im Exchange eingetragen, damit wir wieder mailen konnten. Hat auch geklappt.

    Gruß

    Andre

    Montag, 16. März 2015 14:20
  • Hallo Zusammen

    KB300265 v2 löst das Problem nicht. Kein Login mehr auf dem DC Möglich. Sowie auf gewissen Maschinen in der Domäne. Nach der Deinstallation funktioniert es wieder einwandfrei!

    Cheers,

    Joel

    Update:

    Anscheinend gibt es eine Richtlinie wo man die NTLM Response aktivieren muss und dann funktioniert es auch mit dem Update.

    To resolve the issue of authentication in network services (folders and printer) I've set the group policy "LAN Manager authentication level" to accept "Send LM & NTLM responses." Applied this group policy for the entire domain and now all client machines are accessing and logging in successfully network services. I believe it can help others with the same problem, without having to uninstall the update.

    Below is a way to configure this group policy:

    >> Computer Configuration >> Windows Settings >> Local Polices >> Security Options >>Network Security: LAN Manager authentication level >> Send LM & NTLM responses

    http://www.infoworld.com/article/2895900/security/microsoft-netlogon-patch-kb-3002657-woes-continue-kb-3032359-cisco-anyconnect-fix-confirmed.html

    • Bearbeitet joelsteiner Mittwoch, 18. März 2015 16:07
    Mittwoch, 18. März 2015 16:03
  • > Anscheinend gibt es eine Richtlinie wo man die NTLM Response aktivieren
    > muss und dann funktioniert es auch mit dem Update.
     
    Das wollen wir aber nicht... Da kann ich auch gleich Klartext-Kennwörter
    durchs Netz schicken :(
     

    Greetings/Grüße, Martin

    Mal ein gutes Buch über GPOs lesen?
    Good or bad GPOs? - my blog…
    And if IT bothers me - coke bottle design refreshment (-:
    Mittwoch, 18. März 2015 16:20
  • Ok danke für dein Input Martin, ist demnach für uns auch keine Lösung.

    Gruzz,

    Joel

    Donnerstag, 19. März 2015 07:19