Microsoft está investigando un nuevo problema conocido que hace que los controladores de dominio empresarial experimenten fallas de inicio de sesión de Kerberos y otros problemas de autenticación después de instalar actualizaciones acumulativas lanzadas durante el martes de parches de este mes.
Kerberos ha reemplazado el protocolo NTLM como el protocolo de autenticación predeterminado para dispositivos conectados a un dominio en todas las versiones de Windows anteriores a Windows 2000.
El problema conocido que está investigando Redmond puede afectar cualquier escenario de autenticación Kerberos dentro de los entornos empresariales afectados.
“Después de instalar las actualizaciones lanzadas el 8 de noviembre de 2022 o más tarde en los servidores de Windows con la función de controlador de dominio, es posible que tenga problemas con la autenticación de Kerberos”, explicó Microsoft.
“Cuando se encuentra este problema, es posible que reciba un evento de error de Microsoft-Windows-Kerberos-Key-Distribution-Center Event ID 14 en la sección Sistema del registro de eventos en su controlador de dominio con el siguiente texto”.
Los errores registrados en los registros de eventos del sistema en los sistemas afectados se etiquetarán con la frase clave “la clave faltante tiene un ID de 1”.
“Al procesar una solicitud de AS para el servicio de destino <servicio>, la cuenta <nombre de la cuenta> no tenía una clave adecuada para generar un ticket de Kerberos (la clave que falta tiene una ID de 1)”, se lee en los errores registrados.
La lista de escenarios de autenticación de Kerberos incluye, entre otros, los siguientes:
- El inicio de sesión del usuario del dominio puede fallar. Esto también podría afectar la autenticación de los Servicios de federación de Active Directory (AD FS).
- Las cuentas de servicio administradas de grupo utilizadas para servicios como Internet Information Services (IIS Web Server) pueden fallar en la autenticación.
- Es posible que las conexiones de escritorio remoto que usan usuarios de dominio no se conecten.
- Es posible que no pueda acceder a carpetas compartidas en estaciones de trabajo y recursos compartidos de archivos en servidores.
- La impresión que requiere autenticación de usuario de dominio puede fallar.
La lista completa de plataformas afectadas incluye versiones de cliente y servidor:
- Cliente: Windows 7 SP1, Windows 8.1, Windows 10 Enterprise LTSC 2019, Windows 10 Enterprise LTSC 2016, Windows 10 Enterprise 2015 LTSB, Windows 10 20H2 o posterior y Windows 11 21H2 o posterior
- Servidor: Windows Server 2008 SP2 o posterior, incluida la versión más reciente, Windows Server 2022.
Si bien Microsoft comenzó a reforzar la seguridad para Netlogon y Kerberos a partir del martes de parches de noviembre de 2022, la compañía dice que este problema conocido no es un resultado esperado.
El problema no afecta a los dispositivos que usan los clientes domésticos y los que no están inscritos en un dominio local. Además, no afecta a los entornos híbridos de Azure Active Directory ni a aquellos que no tienen servidores de Active Directory locales.
Microsoft está trabajando en una solución para este problema conocido y estima que habrá una solución disponible en las próximas semanas.
Redmond también ha abordado problemas similares de autenticación de Kerberos que afectan a los sistemas Windows causados por las actualizaciones de seguridad publicadas como parte del martes de parches de noviembre de 2020.
