Kunden, die auf ihrem NetScaler Kerberos verwenden, bekommen nach dem Microsoft November Update ein Problem. Kerberos funktioniert danach nicht mehr mit dem NetScaler und auch weitere Umsysteme sind davon betroffen. Sie erhalten bei einem Login Versuch via NetScaler folgenden Eintrag im System Eventlog des Domain Controllers:
While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key.
ACHTUNG: Diese Anpassungen sind nur als Workaround zu verstehen und sollten wieder rückgängig gemacht werden, sobald Microsoft einen Fix für den Fehler bereitstellt!
UPDATE 18.11.2022
Microsoft hat ein OOB Update für Domain Controller veröffentlicht, welches das oben beschriebene Problem löst.
Nach der Installation des Updates auf allen Domain Controllern ist es möglich RC4 wieder vom KCD Account zu entfernen (Attribut: msDS-SupportedEncryptionTypes, Value: 24) und falls gesetzt, den Reg Key «KrbtgtFullPacSignature» wieder zu entfernen.
Seit dem 01.01.2022 – 00:00 Uhr werden aufgrund eines Bugs bei On-Prem Exchange Servern keine Mails mehr zugestellt. Neue Mails werden vom Exchange zwar angenommen, bleiben dann aber in der Submission Queue hängen und werden nicht ausgeliefert.
Ursache ist ein Bug im “Microsoft Filtering Management Service”, der sich am Jahr 2022 verschluckt. Im Application Event log finden sich dann viele Fehlermeldungen des FIPFS Services mit Meldungen wie «Cannot convert “220101001” to long»
Als Quick Fix reicht es, den «AntiMalware Scanning Service» temporär via Disable-Antimalwarescanning.ps1zu disablen.
In dem Beitrag findet sich etwas versteckt ein Download Link für ein PowerShell Script, welches diesen Prozess automatisiert: https://aka.ms/ResetScanEngineVersion
Das Script läuft recht lange (bis zu 30 Min.) Anschliessend musste der «Microsoft Exchange Transport» Service neu gestartet werden, um den Mailfluss wieder in Gang zu bringen.
Google Chrome v96 and Microsoft Edge Chromium v98 ändern den Pfad zum Speichern der Cookies. Der Pfad wird nach dem Update automatisch migriert. Kunden mit Profilmanagement Lösungen sollten die neuen Pfade in ihre Konfiguration einpflegen.
Bisher (Chrome): %LocalAppData%\Google\Chrome\User Data\Default\cookies
Bisher (MS Edge): %LocalAppData%\Microsoft\Edge\User Data\Default\cookies
Neu (Chrome): %LocalAppData%\Google\Chrome\User Data\Default\Network\cookies
Neu (MS Edge): %LocalAppData%\Microsoft\Edge\User Data\Default\Network\cookies
Neuer Pfad
Folgende Dateien sollten neu zusätzlich geroamt werden:
Kunden die auf ihrem NetScaler Kerberos verwenden, bekommen nach dem Nov. Update ein Problem. Kerberos mit dem NetScaler funktioniert danach nicht mehr.
Folglich funktionieren KCD und Kerberos Impersonation nicht mehr.
Das Deaktivieren der neuen Sicherheitsrichtlinie via Registry Key hilft nicht. Momentan bleibt einzig ein Rollback des Windows Updates auf den Stand 2021-10.
Momentan existiert noch keine Lösung. Bis auf weiteres sollten Kunden das Nov. Update nicht auf den Domain Controllern einspielen, wenn sie Kerberos via NetScaler benötigen.
Sobald eine Lösung existiert, wird dieser Artikel aktualisiert.
UPDATE:
Microsoft hat ein Out-of-Band Update bereitgestellt, welches die genannten Probleme behebt. Dieses Update wird allerdings NICHT via Windows Update verteilt, sondern steht nur im Microsoft Update Catalog zum Download bereit. Es muss also manuell heruntergeladen und auf den Domain Controllern installiert werden. Direkte Download Links sind hier zu finden:
The complete list of out-of-band updates released by Microsoft over the weekend includes:
Citrix hat heute ein neues Security Bulletin veröffentlicht. Es gibt zwei neue Schwachstellen in allen NetScaler Versionen, welche eine Denial of Service Attacke ermöglichen. Eine der Schwachstellen wurde mit dem Status «Critical» versehen, da sie sich ohne Authentifizierung vom Internet aus ausnutzen lässt.
CVE-ID
Description
CWE
Affected Products
Pre-conditions
Criticality
CVE-2021-22955
Unauthenticated denial of service
CWE-400: Uncontrolled Resource Consumption
Citrix ADC, Citrix Gateway
Appliance must be configured as a VPN (Gateway) or AAA virtual server
Critical
CVE-2021-22956
Temporary disruption of the Management GUI, Nitro API and RPC communication
Das Update von Firmware Versionen kleiner, oder gleich 12.1.59.x, bzw. 13.0.64.35 führt dazu, dass der SSO für viele Anwendungen nicht mehr funktioniert. Vor dem Update sollte daher unbedingt folgender Citrix eDocs Artikel gelesen werden: Enable SSO for Basic, Digest, and NTLM authentication (citrix.com)
In NetScaler 13.1.4.43 sind Classic Policies nicht mehr supportet. Vor einem Update auf 13.1.x sollte daher unbedingt eine vorherige Überprüfung der NetScaler Konfiguration durchgeführt werden, s. Classic Policy Deprecation FAQs
