Kerberos: Probleme nach Schema-Update auf Server 2012 R2

(Letztes Update) | Posted by | Administration, PowerShell |

 

Nach einem Schema-Update von Windows 2008 R2 auf Windows 2012 R2 gab es ein Problem mit einer älteren Anwendung unter Windows 7. Der Domain Functional Level wurde nicht verändert.

Die Anwendung prüfte scheinbar beim Starten mit Hilfe von Kerberos, ob der Benutzer bestimmte Gruppenmitgliedschaften hat. Was die Anwendung genau macht, war uns leider nicht bekannt, da wir nicht in den Quellcode sehen konnten.

 

Neue Well-Known SIDs durch Schema-Update

Normalerweise gibt es so gut wie nie Probleme mit einem Schema-Update. Aber in diesem Fall war das Problem reproduzierbar. Es stellte sich heraus, dass bei dem Schema-Update einige neue Well-Known SIDs hinzukamen.

Hinzu kamen unter anderem die SIDs

  • S-1-18-1
  • S-1-18-2

Die SIDs werden in das Token geschrieben, um zu unterscheiden, ob der Client sich über eine zentrale Authentifizierungsstelle mit Client-Credentials (S-1-18-1) oder über einen Service (S-1-18-2) angemeldet hat.
Mehr zu Well-Known SIDs gibt es hier: Microsoft MSDN – Well-Known SIDs
 

Problem bei 2008 R2 und 2012 R2 Domain Controllern

Die SIDs werden wohl nur ausgestellt, wenn sich der Client gegen einen 2012 R2 Domain Controller authentifiziert. Aus diesem Grund tritt das Problem bei einer Domäne mit 2008 R2 DCs und 2012 R2 DCs nur manchmal auf.

Das eigentliche Problem ist, dass Windows 7 Clients die SIDs nicht unterstützen.
Bei dem Versuch die SIDs zu verarbeiten tritt folglich ein Fehler auf.
 

Nachvollziehen des Fehlers mit PSGETSID

Man kann das Fehlschlagen relativ einfach mit dem Befehl “psgetsid” in einer Powershell oder cmd nachstellen.
PsGetsid.exe ist Teil der PsTools von Sysinternals und kann bei Microsoft heruntergladen werden:
Webseite: PsTools (Sysinternals)

psgetsid

PS E:\fa\Blog\Schema-Update> .\PsGetsid.exe S-1-18-1

PsGetSid v1.44 – Translates SIDs to names and vice versa
Copyright (C) 1999-2008 Mark Russinovich
Sysinternals – www.sysinternals.com

Error querying SID:
No mapping between account names and security IDs was done.

Dieser Vorgang prüft allerdings NICHT, ob der Client tatsächlich von dem Problem betroffen ist.
 

Client mit GPRESULT prüfen

Ob der Client vom Problem betroffen ist, lässt sich zum Beispiel mit Bordmitteln über ein gpresult /h prüfen:
In der Liste der Gruppenmitgliedschaften taucht bei betroffenen Windows 7 Clients z.B. der Eintrag “S-1-18-1” auf:

gpresult
 

Client mit “Get SIDS from Token” prüfen

Ein noch etwas eleganterer Weg wäre das Skript aus meinem letzten Artikel (Kerberos-Token mit PowerShell auslesen). Bei betroffenen Clients dann wird folgendes ausgegeben:

get-sids-from-token

PS C:\Users\tuser1> .\get-sids-from-token.ps1
SANCTUARY\Domain Users
Everyone
BUILTIN\Users
NT AUTHORITY\INTERACTIVE
CONSOLE LOGON
NT AUTHORITY\Authenticated Users
NT AUTHORITY\This Organization
LOCAL
WARNING: Could not translate S-1-18-1. Reason: Exception calling “Translate” with “1” argument(s): “Some or all identity references could not be translated.”
SANCTUARY\FS-SALES-0D033C-TF
SANCTUARY\F-A2-SALES-Abteilung1-RW
SANCTUARY\F-A1-marketing-abteilung3-RW
SANCTUARY\FS-marketing-00FDC0-TF

 

Lösung und Hotfix

Microsoft hat das Problem mittlerweile anerkannt und einen Hotfix veröffentlicht, welcher das Problem behebt:
https://support.microsoft.com/en-us/kb/2830145

Der Hotfix wurde von uns erfolgreich bei dem Kunden verteilt und das Problem nach dem Schema-Update wurde behoben. Um zu testen ob der Hotfix funktioniert kann z.B. wieder ein gpresult /h durchgeführt werden. Der Eintrag “S-1-18-1” sollte verschwinden:

gpresult 2

Nun noch einmal der Test mit “get-sids-from-token.ps1” (Folgen Sie dem Link für eine detaillierte Erklärung)
Die SID ist nun ebenfalls nicht mehr im Token gelistet:

get-sids-from-token2

PS C:\Users\tuser1> .\get-sids-from-token.ps1
SANCTUARY\Domain Users
Everyone
BUILTIN\Users
NT AUTHORITY\INTERACTIVE
CONSOLE LOGON
NT AUTHORITY\Authenticated Users
NT AUTHORITY\This Organization
LOCAL
Authentication authority asserted identity
SANCTUARY\FS-SALES-0D033C-TF
SANCTUARY\F-A2-SALES-Abteilung1-RW
SANCTUARY\F-A1-marketing-abteilung3-RW
SANCTUARY\FS-marketing-00FDC0-TF

 

FirstAttribute AG

Dieser Artikel entstand bei Projekten der FirstAttribute AG
AD ConsultingAD Migration

Sie planen Veränderungen an Ihrem AD? 
Nehmen Sie Kontakt zu uns auf, wir hören Ihnen gern zu.

Artikel erstellt am: 28.09.2015
Tags:

You also might be interested in

SID-Filtering deaktivieren

Bei einer Active Directory Migration werden eine oder mehrere Domänen parallel[...]

AD Schema: Server 2012 R2 DC in Domäne aufnehmen

AD Schema: Server 2012 R2 DC in Domäne aufnehmen

In der vergangenen Zeit musste ich häufiger die folgende Frage[...]

AD Migration und maximale Anzahl von Gruppenmitgliedschaften

AD Migration und maximale Anzahl von Gruppenmitgliedschaften

Nach einer AD Migration kann es zu Fehlern bei der[...]

Leave a Reply

Danke für Ihre Anregungen, Fragen und Hinweise.
Infos zum Datenschutz

FirstAttribute

AD Gruppen dynamisch machen

DynamicGroup

© 2020 · Active-Directory-FAQ by firstattribute.com