Freigeben über

DPAPI MasterKey-Sicherungsfehler, wenn RWDC nicht verfügbar ist

Dieser Artikel enthält eine Lösung zum Beheben von DPAPI MasterKey-Sicherungsfehlern, die auftreten, wenn RWDC nicht verfügbar ist.

Ursprüngliche KB-Nummer: 3205778

Symptome

  • Das folgende Verhalten tritt in Windows 8.1 und Windows Server 2012 R2 auf, nachdem Sie MS14-066, KB2992611, KB3000850 oder neuere Updates installiert haben, die diese Fixes enthalten.
  • Dasselbe Verhalten tritt auch in allen Versionen von Windows 10 und höheren Versionen von Windows auf. Domänenbenutzer, die sich zum ersten Mal bei einem neuen Computer an einem Standort anmelden, der von einem schreibgeschützten Domänencontroller (RODC) gewartet wird, treten die folgenden Fehler und Probleme auf.

Allgemeine Probleme

  1. Fehler beim Öffnen des Anmeldeinformations-Managers mit einem 0x80090345 Fehler, der folgendem zugeordnet ist:

    Hexe Dezimalzahl Symbolisch Freundlich
    0x80090345 -2146892987 SEC_E_DELEGATION_ERFORDERLICH Der angeforderte Vorgang kann nicht abgeschlossen werden. Dem Computer muss zu Delegierungszwecken vertraut werden, und das aktuelle Benutzerkonto muss so konfiguriert sein, dass es die Delegierung gestattet.

  2. Das Speichern eines RDP-Kennworts schlägt ohne offensichtlichen Fehler fehl.

  3. Kennwortänderungen dauern länger als erwartet.

  4. Explorer hängt, wenn Sie eine Datei verschlüsseln.

  5. In Office und Office 365 tritt beim Hinzufügen eines neuen Kontos in Windows Live Mail 2012 ein Fehler 0x80090345 auf.

  6. Die Outlook-Profilerstellung schlägt mit dem folgenden Fehler fehl:

    Eine verschlüsselte Verbindung mit Ihrem E-Mail-Server ist nicht verfügbar.

  7. Die Anmeldung bei Lync und Skype hängt oder erlebt eine lange Verzögerung während der Phase "Kontaktserver und Anmeldung".

  8. Der SQL-Dienst kann nicht unter einem Domänenkonto gestartet werden und löst den folgenden Fehler aus:

    SSL-Verschlüsselung kann nicht initialisiert werden, da kein gültiges Zertifikat gefunden wurde und kein selbst signiertes Zertifikat erstellt werden kann.

  9. Sql Server-Installation schlägt mit dem folgenden Fehler fehl:

    SQL Server-Setupfehler.
    Sql Server-Setup hat den folgenden Fehler festgestellt:
    Fehler beim Generieren des XML-Dokuments.
    Fehlercode 0x84B10001.

  10. Domänenbenutzer können SQL-Datenbanken nicht über SMSS verwalten. (SQL Server Management Studio). Dieses Problem tritt auf, wenn die Datenbank über SSMS DataBases ->CustomerDatabase -Tables>Table name navigiert wird.

    Wenn Sie mit der rechten Maustaste auf die Tabelle klicken und dann "Entwurf" auswählen, tritt der folgende Fehler auf:

    Der angeforderte Vorgang kann nicht abgeschlossen werden. Dem Computer muss zu Delegierungszwecken vertraut werden, und das aktuelle Benutzerkonto muss so konfiguriert sein, dass es die Delegierung gestattet. Diese Ausnahme stammt aus System_Security_ni! System.Security.Cryptography.ProtectedData.Protect(Byte[], Byte[], System.Security.Cryptography.DataProtectionScope)."

  11. Die ADFS WAP-Installation kann kein selbstsigniertes Zertifikat erstellen und löst den folgenden Fehler aus:

    Ausnahme: Beim Versuch, das Proxyvertrauenszertifikat zu erstellen, ist ein Fehler aufgetreten.

  12. Die ADLDS-Installation in einem nur von RODC abgedeckten Standort schlägt mit dem folgenden Fehler fehl:

    Geben Sie einen gültigen Benutzer und ein gültiges Kennwort für das ausgewählte Dienstkonto ein.

    1. In dieser Situation zeigt die AdamInstall.log Folgendes:

      adamsetup D20.10F8 0255 15:30:22.002 Enter GetServiceAccountError
      adamsetup D20.10F8 0256 15:30:22.002 Geben Sie einen gültigen Benutzernamen und ein Kennwort für das ausgewählte Dienstkonto ein.
      adamsetup D20.10F8 0257 15:30:22.002 ADAMERR_SERVICE_INVALID_CREDS

    2. Eine Beispiel-Netzwerkablaufverfolgung, die während des Fehlers ausgeführt wurde, zeigt, dass ADLDS ein falsches Kennwort sendet und die Kerberos-TGT-Anforderung mit KDC_ERR_PREAUTH_FAILED fehlschlägt:

      Quelle Ziel Protokoll Beschreibung
      ADLDS RODC KerberosV5 AS Request Cname: ADLDSSvc Realm: CONTOSO Sname: krbtgt/contoso {TCP:375, IPv4:7}
      RODC ADLDS KerberosV5 KerberosV5:KRB_ERROR - KDC_ERR_PREAUTH_FAILED (24) {TCP:376, IPv4:7}

    3. Die Ereignis-ID 4625 wird wie folgt im Sicherheitsprotokoll des ADLDS-Servers protokolliert:

      Ereignis-ID: 4625
      Schlüsselwörter: Überwachungsfehler
      Beschreibung: Ein Konto konnte nicht angemeldet werden.
      ..
      Fehlerinformationen:
      Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
      Status: 0xC000006D
      Unterstatus: 0xC000006A
      ..
      Prozessinformationen:
      Aufruferprozessname: C:\Windows\ADAM\adaminstall.exe

    • Wo sich der Status- und Unterstatus in Folgendes übersetzt:

      Hexe Dezimalzahl Symbolisch Freundlich
      0xc000006a -1073741718 STATUS_FALCHES_PASSWORT Beim Versuch, ein Kennwort zu aktualisieren, gibt dieser Rückgabestatus an, dass der als aktuelle Kennwort angegebene Wert nicht korrekt ist.
      0xc000006d -1073741715 STATUS_ANMELDEFEHLER Die versuchte Anmeldung ist ungültig. Dies ist entweder auf einen ungültigen Benutzernamen oder Authentifizierungsinformationen zurückzuführen.

    • In allen Fällen wird das NETLOGON verwendet. LOG zeigt DsGetDcName-Anforderung, die Aufrufe für beschreibbare Domänencontroller anfordert:

      [MISC] [3736] DsGetDcName-Funktion aufgerufen: client PID=568, Dom:VS Acct:(null) Flags: DS WRITABLE NETBIOS RET_DNS
      [KRITISCH] [3736] NetpDcMatchResponse: CON-DC4: CONTOSO.COM.: Responder ist kein schreibbarer Server.

      [MISC] [2600] DsGetDcName-Funktion gibt 1355 (Client PID=564): Dom:VS Acct:(null) Flags: FORCE DS WRITABLE NETBIOS RET_DNS

      Hierbei gilt:

      Hexe Dezimalzahl Symbolisch Freundlich
      0x54b 1355 ERROR_NO_SUCH_DOMAIN Der angegebene Container ist entweder nicht vorhanden oder wurde nicht erreicht.

Ursache

Wenn sich ein Benutzer zum ersten Mal auf einem Computer anmeldet und versucht, Daten zum ersten Mal zu verschlüsseln, muss das Betriebssystem einen bevorzugten DPAPI MasterKey erstellen, der auf dem aktuellen Kennwort des Benutzers basiert. Beim Erstellen des DPAPI-MasterKeys wird versucht, diesen Hauptschlüssel zu sichern, indem er eine RWDC kontaktiert. Wenn die Sicherung fehlschlägt, kann der MasterKey nicht erstellt werden, und ein 0x80090345 Fehler wird zurückgegeben.

Dieser Fehler ist ein neues Verhalten, das von KB2992611 eingeführt wurde. Wenn der Client bei älteren Betriebssystemen und auf Systemen, auf denen keine KB2992611 installiert ist, während der Sicherung des MasterKey keine RWDC-Verbindung hergestellt wird, ist die Erstellung des Masterschlüssels weiterhin zulässig, und es wird eine lokale Sicherung erstellt.

Das heißt, das Legacyverhalten führt eine lokale Sicherung des Hauptschlüssels aus, wenn kein RWDC verfügbar ist.

Im Einklang mit dem Entwurfsdokument, dass RODCs keine geheimen Schlüssel speichern, speichern oder behandeln RODCs die Sicherung des MasterKey nicht. Daher können in Standorten, an denen keine RWDC verfügbar ist, die Im Abschnitt "Symptome" beschriebenen Probleme auftreten.

Notiz

Wenn ein bevorzugter Masterschlüssel vorhanden ist, aber abgelaufen ist (Falls das Kennwort abgelaufen ist), wird versucht, einen neuen Masterschlüssel zu generieren. Wenn es nicht möglich ist, eine Domänensicherung des neuen Hauptschlüssels zu erstellen, fällt der Client auf das alte zurück, und das im Abschnitt "Symptome" beschriebene Verhalten tritt nicht auf.

Das Problem tritt nur auf, wenn kein MasterKey vorhanden ist und der Benutzer sich noch nicht am Computer angemeldet hat.

Lösung

  1. Stellen Sie sicher, dass in die Domäne eingebundene Arbeitsstationen und Server, auf denen das Problem auftritt, Zugriff auf RWDCs haben.

    Führen Sie die folgende Befehlszeile aus, um zu überprüfen, ob ein RWDC vorhanden ist und sich in einem fehlerfreien Zustand befindet:

    nltest /dsgetdc:<domain> /writable [/force]

    Verwenden Sie NETLOGON. LOG und eine Netzwerkablaufverfolgung mit den in diesem Artikel bereitgestellten Protokollbeispielen, um die Namensauflösung und Konnektivität mit einem RWDC zu überprüfen.
    Um festzustellen, ob dieses Problem auftritt, versuchen Sie, CREDMAN in Systemsteuerung zu öffnen. Wenn der Versuch mit einem 0x80090345 Fehler fehlschlägt, haben Sie dies überprüft.

  2. Wenn möglich, nehmen Sie den Computer an einen Standort, an dem ein RWDC vorhanden ist, und melden Sie sich dann zum ersten Mal dort an. Danach wird der DPAPI-Masterkey erstellt, und das Problem wird behoben.

  3. Wenn Sie keinen Zugriff auf einen RWDC haben und der Benutzer nicht zwischen Computern roamingt, kann der folgende Registrierungseintrag verwendet werden, um das Problem zu beheben.

    Das Festlegen dieses Werts auf 1 bewirkt, dass DPAPI-Masterschlüssel lokal gesichert werden, anstatt eine Domänensicherung zu verwenden. Darüber hinaus lösen alle zuvor erstellten Schlüssel keine Aufrufe für einen beschreibbaren Domänencontroller aus, außer in eingeschränkten Fällen, wie unten erläutert. Diese Registrierungseinstellung gilt nur für Domänenkonten. Lokale Konten verwenden immer lokale Sicherungen.

    Pfad HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb
    Einstellung Schutzpolitik
    Datentyp DWORD
    Wert 1
    Betriebssystemneustart angefordert Ja
    Hinweise Betriebssystem

Warnung

Verwenden Sie diesen Registrierungsschlüssel nicht, wenn sich Domänenbenutzer auf mehreren Computern anmelden! Da die Schlüssel lokal gesichert werden, kann jede änderung des nicht lokalen Kennworts eine Situation auslösen, in der alle DPAPI-Masterschlüssel mit dem alten Kennwort umschlossen werden und dann die Domänenwiederherstellung nicht möglich ist. Dieser Registrierungsschlüssel sollte nur in einer Umgebung festgelegt werden, in der Datenverlust akzeptabel ist.

Weitere Informationen

Thema Einzelheiten
Windows-Datenschutz Windows Data Protection

Schlüsselsicherung und Wiederherstellung in DPAPI
Wenn ein Computer Mitglied einer Domäne ist, verfügt DPAPI über einen Sicherungsmechanismus, um den Schutz der Daten zu ermöglichen. Wenn ein MasterKey generiert wird, spricht DPAPI mit einem Domänencontroller. Domänencontroller verfügen über ein domänenweites öffentliches/privates Schlüsselpaar, das ausschließlich mit DPAPI verknüpft ist. Der lokale DPAPI-Client ruft den öffentlichen Domänencontroller über einen Domänencontroller mithilfe eines sich gegenseitig authentifizierten und datenschutzgeschützten RPC-Aufrufs ab. Der Client verschlüsselt den MasterKey mit dem öffentlichen Domänencontrollerschlüssel. Anschließend wird dieser Sicherungsmasterschlüssel zusammen mit dem MasterKey gespeichert, der durch das Kennwort des Benutzers geschützt ist. Wenn dpAPI den durch das Kennwort des Benutzers geschützten MasterKey nicht verwenden kann, sendet er den Sicherungsmasterschlüssel an einen Domänencontroller, indem er einen sich gegenseitig authentifizierten und datenschutzgeschützten RPC-Aufruf verwendet. Der Domänencontroller entschlüsselt dann den MasterKey mit seinem privaten Schlüssel und sendet ihn mithilfe desselben geschützten RPC-Aufrufs an den Client zurück. Dieser geschützte RPC-Aufruf wird verwendet, um sicherzustellen, dass niemand im Netzwerk den MasterKey abrufen kann.
Überlegungen zur RODC-Platzierung Überlegungen zur RODC-Platzierung
Verknüpfte KB, die das Verhalten ändert/startet dieses Problem. Updaterollup vom November 2014 für Windows RT 8.1, Windows 8.1 und Windows Server 2012 R2 (KB3000850)
Remoteprotokolldokument für Sicherungsschlüssel Anhang B: Produktverhalten
Ausführen des clientseitigen Umbruchs geheimer Schlüssel

Ein BackupKey Remote Protocol-Server führt tatsächlich keine Remotesicherung geheimer Schlüssel durch. Stattdessen umschließt der Server jeden geheimen Schlüssel und gibt ihn an den Client zurück. Der Client ist dafür verantwortlich, den geheimen Schlüssel zu speichern, bis er erneut benötigt wird. An diesem Punkt kann der Client den Server auffordern, den geheimen Schlüssel aufzuheben.

Siehe 3.1.4.1.3 BACKUPKEY_RETRIEVE_BACKUP_KEY_GUID