SMB Zugriff in Arbeitsgruppe nicht mehr möglich

[Ebenezer 17]

Hi, 2x Windows 1124H2 mit aktuellen Updates. Auf einem PC ist das Datenlaufwerk via "D%" freigegeben! Seit einem der letzte MS Updates funktioniert der SMB Zugriff vom anderen PC nicht mehr! Auf beiden Systemen befindet sich ein gleichnamiges Benutzerkonto (mit Adminrechten) und auch die Kennwörter sind identisch! Das Security Eventlog wirft folgendes aus:

 

Bei der Anmeldung ist ein Fehler aufgetreten (Ereignis-ID: 4625)!  Diese ID sieht man auch, wenn man ein falsches Kennwort eingibt, allerdings ist dann der Fehlertext ein anderer (Benutzername oder Kennwort falsch)! Was wir schon alles probiert haben:

 

- Die Anmeldeinformationsverwaltung geleert und beide Systeme neugestartet

- Die Verbindung über andere Accounts (z.B. den integrierten Administrator) probiert

- Verschiedene Schreibweisen ausprobiert (\\smbserver_hostname\username) oder (\\smbserver_ip\username) oder auch nur (username)

- Eine neue sichtbare Freigabe erstellt

- Insecure Guest Logins erlaubt (https://learn.microsoft.com/en-us/answers/questions/2189515/windows-11-24h2-and-insecure-guest-logins-settings?forum=windowsclient-all&referrer=answers)

 

Fällt sonst noch Jemandem etwas dazu ein, oder muss man da jetzt mit Wireshark ran? Danke!

[tesso 389]

Hast du evtl. das SMBv1 Problem was mit den September Updates mal wieder da ist?

 

Nur als Idee

Windows 10/11: September 2025-Updates verursachen SMBv1-ProblemeBorns IT- und Windows-Blog

bearbeitet 16. September von tesso

[testperson 1.920]

Hi,

 

oder auch: Kein RDP oder File Share mehr nach letzten Windows Update (LSA(LsaSrv) Event ID 6167) - Microsoft Q&A

 

Es findet sich zum September Patchday unter Server 2025 / Win 11 24H2 recht viel in diese Richtung.

 

Gruß

Jan

[Ebenezer 17]

vor 3 Stunden schrieb testperson:

Hi,

 

oder auch: Kein RDP oder File Share mehr nach letzten Windows Update (LSA(LsaSrv) Event ID 6167) - Microsoft Q&A

 

Es findet sich zum September Patchday unter Server 2025 / Win 11 24H2 recht viel in diese Richtung.

 

Gruß

Jan

Hallo Jan, danke das klingt exakt nach unserem Problem! Wie bist Du auf diesen Thread gestoßen?

[testperson 1.920]

Hi,

 

mir ist bei einem Kunden die Event Id 6167 aus der Quelle "LSA (LsaSrv)" im Eventlog recht hartnäckig um die Ohren geflogen. Eine kurze Google Suche hatte dann diesen Beitrag hervorgezaubert.

 

Gruß

Jan

[daabm 1.459]

vor 5 Stunden schrieb Ebenezer:

Bei der Anmeldung ist ein Fehler aufgetreten (Ereignis-ID: 4625)! 

Für's nächste Mal: Ein vollständiges Event wäre in solchen Fällen immer hilfreich, da gibt's relativ viele Felder mit Status- und Errorcodes.

[Ebenezer 17]

Hi, mittlerweile gibt es folgenden Microsoft Artikel zur Problematik:

 

https://support.microsoft.com/en-us/topic/kerberos-and-ntlm-authentication-failures-due-to-duplicate-sids-76f7394d-c460-4882-9ed1-d27e0960f949

 

Nicht eindeutige Computer SIDs können also, zumindest in bestimmten Konstellationen, nach zwei Jahrzehnten wieder zum Problem werden!

 

im Lösungs-Abschnitt des o.a. Artikels ist noch von speziellen Gruppenrichtlinien die Rede, mit denen man dem Problem temporär begegnen kann. Allerdings muss man diese über den Microsoft Business Support erfragen. Hat das zufällig schon Jemand gemacht und hat Lust seine Erkenntnisse zu teilen? Danke!

[testperson 1.920]

Aus den Kommentaren bei borncity.com: Windows 11 24H2-25/H2, Server 2025: SID-Duplikate verursachen NTLM-/Kerberos-AuthentifizierungsfehlerBorns IT- und Windows-Blog

Zitat

Die GPO setzt folgenden RegKey:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides]
"1517186191"=dword:00000000

Damit wird das KB5065426 ausser Kraft gesetzt

 

Ist am Ende also "nur" ein Known Issue Rollback (KIR).

[Ebenezer 17]

Danke!