MS-Patch RDP und Netzwerk Authentifizierung mit gleicher SID

Clientpflege linbo
1

Hallo zusammen,

vielleicht ist es jemanden schon aufgefallen, aber seit dem Oktober 24H2-Update und 25H2 geht RDP nicht mehr zwischen 2 Systemen, die mit linbo aufgesetzt wurden und damit die gleiche SID haben:

Microsoft empfiehlt: Nur noch Installationen mit Sysprep

Um diese Probleme zu vermeiden, rät Microsoft dazu, beim Erstellen oder Klonen von Windows-Installationen künftig Sysprep zu verwenden. Das Windows-eigene Tool „generalisiert“ Systemabbilder und sorgt dafür, dass jede Installation eine eindeutige SID erhält.

Wie „Neowin“ weiter berichtet, beschreibt Microsoft die Änderung in einem neuen Support-Dokument (KB5070568) auf seiner Website. Damit will der Konzern sicherstellen, dass NTLM- und Kerberos-Anmeldungen künftig nur noch auf eindeutig identifizierbaren Geräten funktionieren – ein wichtiger Schritt für mehr Sicherheit in Firmennetzwerken.

Microsoft macht still und leise eine Anforderung für Windows 11 25H2- und 24H2-Installationen verpflichtend

Dazu noch folgende Links:
Kerberos and NTLM authentication failures due to duplicate SIDs - Microsoft Support

https://www.msn.com/de-de/nachrichten/digital/windows-11-erhebliche-probleme-nach-update-das-soll-dagegen-helfen/ar-AA1P3too

Remmina von einem Linux-Client scheint aber noch zu gehen.

Diese ominöse Workaround-GPO von MS ist scheinbar nur über kostenpflichtigen Business-Support erhältlich. Falls die jemand doch zufällig hat, gern Bescheid geben.

MS macht sich wieder an allen Fronten beliebter :frowning:

VG,
Frank

1 „Gefällt mir“
2

Dazu eine Verständnis-Frage:
Wird beim Domain-Join eine neue SID pro PC erstellt, also trifft das Problem nur PCs ohne Domäne?
Oder betrifft diese neue Microsoft-Policy (identische SIDs im LAN ab jetzt zu sperren) alle Linbo-PCs?

Beste Grüße
Tom

3

Hi Tom,

hier per copy+paste die einfache Antwort von chatgpt, die meines Erachtens stimmt:

Die Computer-SID (also die Geräte-ID, die unter „Einstellungen → System → Info“ angezeigt wird) wird typischerweise während der Windows-Installation generiert. Genauer:

  • Bei der Installation von Windows erzeugt das System eine zufällige, einmalige SID (basierend auf einem 96-Bit-Wert).
  • Wenn du ein Windows-System klonst (z. B. über ein Abbild), kann der SID dupliziert werden – darum wird vor dem Abbild oft „Sysprep /generalize“ genutzt, um die SID zurückzusetzen und beim nächsten Start eine neue zu generieren.
  • Beim ersten Start nach Sysprep (in der OOBE-Phase) wird dann ein neuer eindeutiger Computer-SID angelegt.

Kurz: Der SID entsteht beim ersten vollständigen Systemstart (nach Installation oder Sysprep), nicht einfach nur jedes Mal neu.

VG,
Frank