Ошибка с кодом 37 Kerberos-Key-Distribution-Center [Версия для КПК]

z3f

20-12-2021, 19:02

Привествую!
Возникает ошибка с кодом 37 от Kerberos-Key-Distribution-Center о том что проблема с PAC.
Вот прочитал все это -
https://petri.com/microsoft-issues-emergency-update-fix-for-windows-server-sso-authentication-bug
https://community.spiceworks.com/topic/2338789-event-id-35-and-37-kerberos-on-server-2019
https://support.microsoft.com/en-us/topic/kb5008380-authentication-updates-cve-2021-42287-9dafac11-e0d0-4cb8-959a-143bd0201041

Добавил ключ реестра с цифрой 1. И реакции ноль - предупреждения сюплются.
На клиентах - никакой реакции в логах нет. При этом жутко тормозит DHCP в раздаче.

Кто сталкивался? Чем можно решить проблему с ворнингами?

mcmurphy

27-03-2022, 10:33

z3f,
Добрый день! Вы обновления на КД устанавливали, как у вас решился вопрос?
Советуют установить КБ5008602 на КД с 2019 виндой.

Вроде бы я читал, что существует несколько режимов работы КД:
Взято отсюда:
https://community.spiceworks.com/topic/2338789-event-id-35-and-37-kerberos-on-server-2019

Microsoft обнаружила уязвимость в том, как работает аутентификация в DCS . исправление происходит в 3 этапа:

9 ноября 2021 года: начальная фаза развертывания – разверните исправление, но у вас есть возможность отключить его, принудительно применить или использовать в режиме обратной совместимости.
Этот этап для нас уже пройден. и, вероятно, все вы тоже, если вы установили обновления Nov9. Исправление в настоящее время находится в режиме совместимости по умолчанию (я называю его режимом совместимости, а не Microsoft). это обновление добавило новые предупреждения в средство просмотра событий.

12 апреля 2022 года: Вторая фаза развертывания – удалите возможность отключить его, установите исправление в режим совместимости (если оно было отключено).

12 июля 2022 года: фаза принудительного исполнения – принудительно переведите исправление в режим принудительного исполнения, когда DC, имеющие это, не будут совместимы с компьютерами, которые этого не делают. они не смогут аутентифицировать все, что нуждается в исправлении, иначе аутентификация по сети завершится неудачно. (пока у вас есть обновления от 9 ноября или 12 апреля, все будет в порядке)

Что вам нужно сделать сейчас?
Ничего – исправление на месте, НО оно не ПОЛНОСТЬЮ защищено, потому что находится в режиме совместимости. просто подождите до 22 июля 2022 года чтобы он перешел в режим полного принудительного
использования или
установите DCs в режим полного принудительного использования прямо сейчас