Anmeldeprobleme - Benutzername / Passwort falsch

[stevenki 2]

Hallo zusammen,

 

wir haben aktuell "massive" Probleme mit Anmeldeproblemen, die ich einfach nicht nachvollziehen kann.
Ich würde behaupten, dass die Probleme auftreten, seit dem wir einen Windows Server 2025 DC mit im System haben, 12 Jahre davor hatten wir keinerlei diese Probleme.

 

Die Probleme äußern sich wie folgt:

Einige Rechner melden bei der Anmeldung "Benutzername oder Kennwort falsch".

Wenn wir in dem Moment uns dann lokal Anmelden und Test-SecureComputerChannel machen, bekomme ich ein True.

NSLookup hat auch die Domain sowie alle Domaincontroller aufgelöst usw.

Zeit passt auch mit den DCs überein.

 

Nach einem Neustart des Clients gehts dann immer wieder.

Das Problem haben wir auch im gesperrten Modus, also wenn ein Benutzer seinen Rechner sperrt und wieder entsperren will.

 

Im Log des Clients wird folgendes gemeldet: 

 

EventID 4625

MachineName TA-CLPC20005.xxx.local

EntryType FailureAudit

 

Fehler beim Anmelden eines Kontos.

Antragsteller:
    Sicherheits-ID:        S-1-5-18
    Kontoname:        TA-CLPC20005$
    Kontodomäne:        [DOMAINNAME]
    Anmelde-ID:        0x3e7

Anmeldetyp:            2

Konto, für das die Anmeldung fehlgeschlagen ist:
    Sicherheits-ID:        S-1-0-0
    Kontoname:        [Anmeldename]
    Kontodomäne:        [DOMAINNAME]

Fehlerinformationen:
    Fehlerursache:        %%2304
    Status:            0xc000006d
    Unterstatus::        0x0

Prozessinformationen:
    Aufrufprozess-ID:    0x9e8
    Aufrufprozessname:    C:\Windows\System32\svchost.exe

Netzwerkinformationen:
    Arbeitsstationsname:    TA-CLPC20005
    Quellnetzwerkadresse:    127.0.0.1
    Quellport:        0

Detaillierte Authentifizierungsinformationen:
    Anmeldeprozess:        User32 
    Authentifizierungspaket:    Negotiate
    ?bertragene Dienste:    -
    Paketname (nur NTLM):    -
    Schl?ssell?nge:        0
 

zur gleichen Zeit wird auf dem DC folgendes protokolliert:

 

Ein Kerberos-Dienstticket wurde angefordert. 

Kontoinformationen:
    Kontoname:         [Anmeldename]@[DOMAINNAME]
    Kontodomäne:        [DOMAINNAME]
    Anmelde- GUID:        {8ceb624b-4a79-43d5-9f30-fc3eacf3d33c}
    MSDS-SupportedEncryptionTypes:    0x0 (N/A)
    Verfügbare Schlüssel:    N/A

Dienstinformationen:
    Dienstname:        TA-CLPC20005$
    Dienst-ID:         [DOMAINNAME]\TA-CLPC20005$
    MSDS-SupportedEncryptionTypes:    0x1C (RC4, AES128-SHA96, AES256-SHA96)
    Verfügbare Schlüssel:    DES, RC4, AES128-SHA96, AES256-SHA96

Domaincontrollerinformationen:
    MSDS-SupportedEncryptionTypes:    0x18 (AES128-SHA96, AES256-SHA96)
    Verfügbare Schlüssel:    DES, RC4, AES128-SHA96, AES256-SHA96

Netzwerkinformationen:
    Clientadresse:         ::ffff:10.1.10.38
    Clientport:        53570
    Angekündigte ETYPEs:    
        AES256-CTS-HMAC-SHA1-96
        AES128-CTS-HMAC-SHA1-96
        RC4-HMAC-NT
        DES-CBC-MD5
        DES-CBC-CRC
        RC4-HMAC-NT-EXP
        RC4-HMAC-OLD-EXP

Zusätzliche Informationen:
    Ticketoptionen:        0x40810000
    Ticketverschlüsselungstyp:    0x12
    Sitzungsverschlüsselungstyp:    0x12
    Fehlercode:        0x0
    Übertragene Dienste:    -

Ticketinformationen
    Hash des Anforderungstickets:        s5yh1FJP7/QGNfIseWEklJBJwrWgI6rnxxwBYFb82qw=

    Hash des Antworttickets:        Kd0//U3zlF76OWCXt/dK468UjDOx3yRqjxSDZW6014E=

 

 

Es wurde ein Kerberos-Authentifizierungsticket (TGT) angefordert.

Kontoinformationen:
    Kontoname:         [Anmeldename]
    Bereitgestellter Bereichsname:    [DOMAINNAME]
    Benutzer-ID:            [DOMAINNAME]\ [Anmeldename]
    MSDS-SupportedEncryptionTypes:    0x24 (RC4, AES-SK)
    Verfügbare Schlüssel:    DES, RC4, AES128-SHA96, AES256-SHA96

Dienstinformationen:
    Dienstname:        krbtgt
    Dienst-ID:        [DOMAINNAME]\krbtgt
    MSDS-SupportedEncryptionTypes:     0x18 (AES128-SHA96, AES256-SHA96)
    Verfügbare Schlüssel:    DES, RC4, AES128-SHA96, AES256-SHA96

Domaincontrollerinformationen:
    MSDS-SupportedEncryptionTypes:    0x18 (AES128-SHA96, AES256-SHA96)
    Verfügbare Schlüssel:    DES, RC4, AES128-SHA96, AES256-SHA96

Netzwerkinformationen: 
    Clientadresse:        ::ffff:10.1.10.38
    Clientport:        53569
    Angekündigte ETYPEs:    
        AES256-CTS-HMAC-SHA1-96
        AES128-CTS-HMAC-SHA1-96
        RC4-HMAC-NT
        DES-CBC-MD5

Zusätzliche Informationen:
    Ticketoptionen:        0x40810010
    Ergebniscode:         0x0
    Ticketverschlüsselungstyp:    0x12
    Sitzungsverschlüsselungstyp:    0x12
    Vorauthentifizierungstyp:    2
    Vorauthentifizierungsverschlüsselungstyp:    0x12

Zertifikatinformationen:
    Name des Zertifikatausstellers:        
    Seriennummer des Zertifikats:    
    Fingerabdruck des Zertifikats:        

Ticketinformationen
    Hash des Antworttickets:        s5yh1FJP7/QGNfIseWEklJBJwrWgI6rnxxwBYFb82qw=

 

 

ich weiß leider nicht mehr wo wir ansetzen sollen, es betrifft aktuell nur "wenige" einzelne Rechner, gefühlt werden es aber mehr.

Hat jemand Ideen wo ich noch ansetzen könnte?

 

Interessanterweise meldet der Client auch folgendes:

13:15:21 Der Computer konnte eine sichere Sitzung mit einem Domänencontroller in der Domäne DOMAINNAME aufgrund der folgenden Ursache nicht einrichten: 
Interner Fehler.

 

Was interner Fehler hier bedeutet weiß ich nicht - ABER, dieser Fehler kommt erst eine ganze Weile nach den Meldungen oben.

Auch finde ich im Log, dass er erfolgreich die Zeit mit dem DC synchronisiert usw.

 

Ich wäre glücklich, wenn jemand eine Idee hat.

 

Liebe Grüße

bearbeitet 21. August von stevenki

[cj_berlin 1.493]

Moin,

 

ich dachte, das wäre weggepatcht worden, aber versucht mal, RC4 auf Domain Controller-Ebene wieder zuzulassen, zumindest bis alle Maschinen ihr Kennwort gerollt haben.

[NilsK 3.038]

Moin,

 

vor 32 Minuten schrieb cj_berlin:

ich dachte, das wäre weggepatcht worden

 

dafür müsste der Patch ja auch eingespielt worden sein. Darüber wissen wir hier nichts, soweit ich sehe.

 

Gruß, Nils

[stevenki 2]

Hallo, danke für eure Antworten.
Leider ist mir das entgangen, gab es da einen manuell zu installierenden Hotfix?

Also Grundlegend sind alle Updates installiert, die über Windows Update zu beziehen sind.

[stevenki 2]

Also am Computer Kennwort kann es , aus meiner Laiensicht, nicht liegen, denn sollte dann jeder Computer nicht genau nur 1* betroffen sein? Tatsächlich sind die Clients mehrfach betroffen, hatte erst Freitag einen Notebook mal phyisisch in dem Moment vor mir, wo das Problem auftrat.

Keine Anmeldung mit keinem Konto möglich (außer natürlich mit dem lokalen), Neustart, alles wieder iO.

Logs genau auf allen Clients gleich

[zahni 587]

Ob es bringt, kann ich nicht sagen, es wäre aber mal einen Versuch wert. Setze das Kennwort vom krbtgt-Konto 2x (!) zurück und nach 10 Stunden nochmal. Das Kennwort sollte sicher sein, Du musst es Dir aber nicht merken.

 

https://learn.microsoft.com/de-de/windows-server/identity/ad-ds/manage/forest-recovery-guide/ad-forest-recovery-reset-the-krbtgt-password

 

Das im Übrigen auch Golden-Tickets ungültig...

 

 

 

 

[NilsK 3.038]

Moin,

 

vor einer Stunde schrieb zahni:

Setze das Kennwort vom krbtgt-Konto 2x (!) zurück und nach 10 Stunden nochmal.

 

die 10 Stunden liegen zwischen dem ersten und dem zweiten Zurücksetzen. Nicht zwischen dem zweiten und dem dritten - dreimal ist nicht nötig. 

Der Zeitabstand dient dazu, dass in einer Nicht-Angriffs-Situation genügend Zeit bleibt, dass auch eine verteilte und AD-replizierte Infrastruktur unterbrechungsfrei weiter arbeiten kann.

 

Gruß, Nils

 

[MurdocX 992]

AFAIR haben Kerberos-Tickets eine default Laufzeit von 10 Stunden, damit wird erstmal kein Ticket unlesbar gemacht.

 

Zum Problem: Ich würde behaupten "Its always DNS"  

 

Zusatz: Beim Server 2025 wurde RC4 abgeschaltet, falls an den User-Accounts jemand etwas gedreht haben sollte. 

Neuigkeiten in Windows Server 2025 | Microsoft Learn

 

[stevenki 2]

Also das Zurücksetzen des Passworts vom krbtgt hat nichts gebracht ...

 

DNS würde ich an der Stelle eventuell ausschließen?! Weil im Log des Clients steht zb davor, dass er sich die Uhrzeit vom per Name aufgelösten DC geholt hat. Die Auflösung scheint ja also zu klappen und den DC erreicht er ja, sonst würde der DC ja auch nichts Protokollieren oder?

Wegen dem RC4 schaue ich mir mal an, dankeschön