• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

Kerberos: Probleme nach Schema-Update auf Server 2012 R2

Aug 8, 2016 (Letztes Update) | Posted by Hannes Hayashi Administration, PowerShell |

 

Nach einem Schema-Update von Windows 2008 R2 auf Windows 2012 R2 gab es ein Problem mit einer älteren Anwendung unter Windows 7. Der Domain Functional Level wurde nicht verändert.

Die Anwendung prüfte scheinbar beim Starten mit Hilfe von Kerberos, ob der Benutzer bestimmte Gruppenmitgliedschaften hat. Was die Anwendung genau macht, war uns leider nicht bekannt, da wir nicht in den Quellcode sehen konnten.

Inhaltsverzeichnis

  • 1 Neue Well-Known SIDs durch Schema-Update
    • 1.1 Problem bei 2008 R2 und 2012 R2 Domain Controllern
    • 1.2 Nachvollziehen des Fehlers mit PSGETSID
    • 1.3 Client mit GPRESULT prüfen
    • 1.4 Client mit „Get SIDS from Token“ prüfen
  • 2 Lösung und Hotfix

 

Neue Well-Known SIDs durch Schema-Update

Normalerweise gibt es so gut wie nie Probleme mit einem Schema-Update. Aber in diesem Fall war das Problem reproduzierbar. Es stellte sich heraus, dass bei dem Schema-Update einige neue Well-Known SIDs hinzukamen.

Hinzu kamen unter anderem die SIDs

  • S-1-18-1
  • S-1-18-2

Die SIDs werden in das Token geschrieben, um zu unterscheiden, ob der Client sich über eine zentrale Authentifizierungsstelle mit Client-Credentials (S-1-18-1) oder über einen Service (S-1-18-2) angemeldet hat.
Mehr zu Well-Known SIDs gibt es hier: Microsoft MSDN – Well-Known SIDs
 

Problem bei 2008 R2 und 2012 R2 Domain Controllern

Die SIDs werden wohl nur ausgestellt, wenn sich der Client gegen einen 2012 R2 Domain Controller authentifiziert. Aus diesem Grund tritt das Problem bei einer Domäne mit 2008 R2 DCs und 2012 R2 DCs nur manchmal auf.

Das eigentliche Problem ist, dass Windows 7 Clients die SIDs nicht unterstützen.
Bei dem Versuch die SIDs zu verarbeiten tritt folglich ein Fehler auf.
 

Nachvollziehen des Fehlers mit PSGETSID

Man kann das Fehlschlagen relativ einfach mit dem Befehl “psgetsid” in einer Powershell oder cmd nachstellen.
PsGetsid.exe ist Teil der PsTools von Sysinternals und kann bei Microsoft heruntergladen werden:
Webseite: PsTools (Sysinternals)

psgetsid

PS E:\fa\Blog\Schema-Update> .\PsGetsid.exe S-1-18-1

PsGetSid v1.44 – Translates SIDs to names and vice versa
Copyright (C) 1999-2008 Mark Russinovich
Sysinternals – www.sysinternals.com

Error querying SID:
No mapping between account names and security IDs was done.

Dieser Vorgang prüft allerdings NICHT, ob der Client tatsächlich von dem Problem betroffen ist.
 

Client mit GPRESULT prüfen

Ob der Client vom Problem betroffen ist, lässt sich zum Beispiel mit Bordmitteln über ein gpresult /h prüfen:
In der Liste der Gruppenmitgliedschaften taucht bei betroffenen Windows 7 Clients z.B. der Eintrag “S-1-18-1” auf:

gpresult
 

Client mit „Get SIDS from Token“ prüfen

Ein noch etwas eleganterer Weg wäre das Skript aus meinem letzten Artikel (Kerberos-Token mit PowerShell auslesen). Bei betroffenen Clients dann wird folgendes ausgegeben:

get-sids-from-token

PS C:\Users\tuser1> .\get-sids-from-token.ps1
SANCTUARY\Domain Users
Everyone
BUILTIN\Users
NT AUTHORITY\INTERACTIVE
CONSOLE LOGON
NT AUTHORITY\Authenticated Users
NT AUTHORITY\This Organization
LOCAL
WARNING: Could not translate S-1-18-1. Reason: Exception calling „Translate“ with „1“ argument(s): „Some or all identity references could not be translated.“
SANCTUARY\FS-SALES-0D033C-TF
SANCTUARY\F-A2-SALES-Abteilung1-RW
SANCTUARY\F-A1-marketing-abteilung3-RW
SANCTUARY\FS-marketing-00FDC0-TF

 

Lösung und Hotfix

Microsoft hat das Problem mittlerweile anerkannt und einen Hotfix veröffentlicht, welcher das Problem behebt:
https://support.microsoft.com/en-us/kb/2830145

Der Hotfix wurde von uns erfolgreich bei dem Kunden verteilt und das Problem nach dem Schema-Update wurde behoben. Um zu testen ob der Hotfix funktioniert kann z.B. wieder ein gpresult /h durchgeführt werden. Der Eintrag “S-1-18-1” sollte verschwinden:

gpresult 2

Nun noch einmal der Test mit „get-sids-from-token.ps1“ (Folgen Sie dem Link für eine detaillierte Erklärung)
Die SID ist nun ebenfalls nicht mehr im Token gelistet:

get-sids-from-token2

PS C:\Users\tuser1> .\get-sids-from-token.ps1
SANCTUARY\Domain Users
Everyone
BUILTIN\Users
NT AUTHORITY\INTERACTIVE
CONSOLE LOGON
NT AUTHORITY\Authenticated Users
NT AUTHORITY\This Organization
LOCAL
Authentication authority asserted identity
SANCTUARY\FS-SALES-0D033C-TF
SANCTUARY\F-A2-SALES-Abteilung1-RW
SANCTUARY\F-A1-marketing-abteilung3-RW
SANCTUARY\FS-marketing-00FDC0-TF


 

FirstAttribute AG

Dieser Artikel entstand bei Projekten der FirstAttribute AG
AD Consulting
| AD Migration

Sie planen Veränderungen an Ihrem AD? 
Nehmen Sie Kontakt zu uns auf, wir hören Ihnen gern zu.


Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 28.09.2015
Tags: gpresultpsgetsidPsToolsSchemaSID
0

You also might be interested in

AD Schema synchronisieren

Active Directory Schema synchronisieren

Apr 10, 2014

Kürzlich wollte ich eine Active-Directory Test-Domäne erstellen. Diese sollte den[...]

Active Directory – SID Filtering

Jan 22, 2015

mit dem Thema Active Directory SID Filtering muss sich wahrscheinlich[...]

Maximale Anzahl von Gruppenmitgliedschaften

AD Migration und maximale Anzahl von Gruppenmitgliedschaften

Jul 11, 2017

Nach einer AD Migration kann es zu Fehlern bei der[...]

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

FirstWare IDM-Portal im Test: IT-Administrator 08-2022

 

ADFAQ-FirstAttribute

Wer schreibt ?

Team der FirstAttribute AG

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • 8 Tipps für mehr Sicherheit in Active Directory und Backups von AD
  • Azure AD Custom Security Attributes ermöglichen flexible Berechtigungsstrukturen
  • Dateiberechtigungen in MS Teams und SharePoint Online verwalten – So funktioniert es
  • AD-Gruppen in Microsoft Teams verwenden – Dynamische Gruppen in der Praxis
  • Verbindung zwischen Microsoft 365 und SharePoint Online zu Azure AD

Unsere IAM-Lösungen

Ihre IAM-Lösung: FirstWare IDM-Portal

 

my-IAM für Cloud Identity Management in Microsoft Teams

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Azure AD Berechtigung Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange-Ordner Exchange-Postfach Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP m365 Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • activedirectoryfaq.com sharepoint login - infoslist bei Windows 365 und Azure AD verstehen in Theorie und Praxis
  • Domäne Letzte Anmeldung - ObenGesichert.com bei LastLogon vs. LastLogonTimestamp
  • Teams Code Zur Anmeldung - ObenGesichert.com bei Authentifizierung für MS Teams in hybriden Netzwerken
Login
Impressum
Datenschutzerklärung

© 2023 · Active-Directory-FAQ by firstattribute.com

Prev Next