Microsoft investiga la falla de controladores de dominio empresarial de inicio de sesión en kerberos, y otros problemas de autenticación después de instalar actualizaciones acumulativas lanzadas durante el martes de parches de este mes.

Kerberos ha reemplazado el protocolo NTLM como el protocolo de autenticación predeterminado para dispositivos conectados a un dominio en todas las versiones de Windows anteriores a Windows 2000.

Se informa que hace tres días que las actualizaciones de noviembre corrompe a kerberos en situaciones "en las que ha establecido las opciones de cuenta 'Esta cuenta admite el cifrado Kerberos AES de 256 bits' o 'Esta cuenta admite el cifrado Kerberos AES de 128 bits' (es decir, msDS- atributo SupportedEncryptionTypes) en cuentas de usuario en AD”.

“Después de instalar las actualizaciones lanzadas el 8 de noviembre de 2022 o más tarde en los servidores de Windows con la función de controlador de dominio, es posible que tenga problemas con la autenticación de Kerberos”, explicó Microsoft.

"Cuando se encuentra este problema, es posible que reciba un evento de error de Microsoft-Windows-Kerberos-Key-Distribution-Center Event ID 14 en la sección Sistema del registro de eventos en su controlador de dominio con el siguiente texto".

Los errores registrados en los registros de eventos del sistema en los sistemas afectados

se etiquetarán con una frase clave "la clave que falta tiene una identificación de 1".

“Al procesar una solicitud de AS para el servicio de destino <servicio>, la cuenta<nombre de la cuenta> no tenía una clave adecuada para generar un ticket de Kerberos (la clave que falta tiene una ID de 1)”, se lee en los errores registrados .

En la lista de escenarios de autenticación de kerberos se incluye:

-El inicio de sesión de el dominio puede fallar, incluyendo la autenticación de los servicios de federación de active directory (AD FS)

- Las cuentas de servicio administradas de grupo como internet information services (IIS web server) pueden fallar en la autenticación.

-Conexiones de escritorio remoto de dominio no se conecten .

-Inaccesibilidad a carpetas compartidas en estaciones de trabajo y archivos de servidores compartidos.

-La autenticación de usuario de dominio puede fallar.

Afecta a las plataformas cliente y servidor

La lista completa de plataformas afectadas incluye versiones de cliente y servidor:

• Cliente: Windows 7 SP1, Windows 8.1, Windows 10 Enterprise LTSC 2019, Windows 10 Enterprise LTSC 2016, Windows 10 Enterprise 2015 LTSB, Windows 10 20H2 o posterior y Windows 11 21H2 o posterior

• Servidor: Windows Server 2008 SP2 o posterior, incluida la versión más reciente, Windows Server 2022.

Si bien la empresa Microsoft ha empezado a reforzar la seguridad para netlogon y kerberos a partir del martes de parches de noviembre de 2022 menciona que este problema conocido no es un resultado esperado

Este problema no afecta a clientes domésticos o no inscritos en un dominio local, además de no afectar también a los entornos híbridos de Azure Active Directory ni a aquellos que no tienen servidores de Active Directory locales. Cabe recalcar de que se esta trabajando en una solución lo antes posible para las siguientes semanas.