Bei einem meiner letzten Kunden-Einsätze stand ich vor dem Problem, dass ich mich auf einem Domänencontroller nicht mehr anmelden konnte. Das System meldete strikt einen unbekannten Benutzer oder ein falsches Kennwort. Dies galt genauso für verschiedene andere Mitgliedsserver – mit einem Domänen-Account war keine Anmeldung möglich, lediglich die lokale Anmeldung führte zum Erfolg.
Auf den Servern selbst häufte sich im Systemereignisprotokoll die folgende Fehlermeldung mit der Quelle Security-Kerberos und Event-ID 4:
The Kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/myserver.domain.com. This indicates that the password used to encrypt the Kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (domain.com), and the client realm. Please contact your system administrator.
Ursache
Zu meinem Glück hatte ein Kollege kurze Zeit zuvor das gleiche Verhalten bei einem anderen Kunden entdeckt und führte mich so gleich auf die richtige Fährte.
Die Ursache für das Problem findet man, wenn man sich das Ereignisprotokoll eines betroffenen Systems untersucht. Vor dem Auftreten des oben beschriebenen Fehlers findet man nämlich einen Hinweis auf die zuvor geschehene, verantwortliche Aktion. Im Systemereignisprotokoll findet man unter der Quelle Netlogon mit der Event-ID 5823 folgende Information:
Das Kennwort auf dem Domänencontroller [NAME] wurde vom System erfolgreich geändert. Dieses Ereignis wird protokolliert, wenn das Kennwort für das Computerkonto vom System geändert wird. Es wird auf dem Computer protokolliert, auf dem das Kennwort geändert wurde.
Die Kennwortänderung der Computer-Passwörter ist grundlegender Bestandteil der Netzwerksicherheit und nicht das eigentliche Problem, vielmehr die Art der Verschlüsselungsmethode. In gemischten Umgebungen mit Windows Server 2003 und Windows Server 2012 R2 Domänencontrollern werden unterschiedliche Algorithmen verwendet: DES unter 2003 und AES unter 2012 R2. Der Fehler tritt auf, da der KDC den jeweils anderen Algorithmus nicht unterstützt.
Lösung
Im Internet findet man dazu einige Hinweise anderer Benutzer, die sich mit folgendem Workaround beholfen haben: Die Erstellung einer Gruppenrichtlinie zur Abschaltung (bzw. Vergrößerung des Zyklus) der Kennwortänderung für Computerpasswörter:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien/Sicherheitsoptionen
Domänenmitglied: Änderungen von Computerkennwörtern deaktivieren: Aktivieren
Bei meiner weiteren Recherche stieß ich letztendlich auf den folgenden, sehr hilfreichen Technet-Artikel des Directory Services Teams. Hier wird nicht nur äußerst detailliert auf die Ursachen eingegangen, sondern auch weitere alternative Lösungsmöglichkeiten vorgeschlagen.
Seit dem 28. August 2014 gibt es nun einen Hotfix KB2989971 von Microsoft, mit dem das Problem beseitigt ist.
Fazit
Die Änderung der Verschlüsselungsalgorithmen ist aus Sicherheitsaspekten sinnvoll und nachvollziehbar. Allerdings hat man bei Microsoft mit Windows Server 2012 R2 (mit früheren Versionen tritt das Problem nicht auf) vermutlich nicht bedacht, dass es bei Migrationen mit Windows Server 2003 Domänencontrollern nach der ersten Änderung von Computerkennwörtern zu diesem Verhalten kommt.
Wie bei allen meinen Beiträgen gilt: Bei Tipps, Vorschlägen sowie Fragen oder Kritiken hinterlasst bitte einen Kommentar.