Doppelte SIDs verursachen NTLM/Kerberos-Authentifizierungsfehler. Borns Technik- und Windows-Welt

[English]Am 21. Oktober 2025 äußerte sich Microsoft zu einem Problem mit der NTLM/Kerberos-Authentifizierung. Auf diesen Betriebssystemen treten Authentifizierungsfehler auf, wenn mehrere Computer dieselbe SID haben und bestimmte Updates vom August oder September 2025 installiert sind. Mögliches Problem beim Klonen von Installationsimages.

SID (Steht für Security ID) ist eine eindeutige Sicherheitskennung, die von Microsoft Windows automatisch zugewiesen wird. Ziel ist es, jedes System, jeden Benutzer und jede Gruppe kontinuierlich zu identifizieren. Mit diesem Kommentar gibt es hier im Blog eine umfassendere Diskussion darüber, ob doppelte SIDs im selben Netzwerk ein Problem darstellen könnten. Und auch doppelte Netzwerk-SIDs spielen in diesem Kommentar eine Rolle. Dies kann vermieden werden, indem nach dem Klonen einer Windows-Installation ein Sysprep ausgeführt wird. Dies ist nur eine vorläufige Anmerkung, obwohl sich die folgenden Kommentare auf ein Problem im Zusammenhang mit den Windows-Updates vom August oder September 2025 beziehen.

Durch SIDs verursachte Kerberos/NTLM-Authentifizierungsprobleme

Am 21. Oktober 2025 veröffentlichte Microsoft den Support-Artikel Kerberos- und NTLM-Authentifizierungsfehler aufgrund (über) doppelter SIDs, in dem die Auswirkungen doppelter SIDs behandelt werden. In dem Beitrag heißt es, dass bei Geräten mit doppelten Sicherheitskennungen (SIDs) Kerberos- und NTLM-Authentifizierungsfehler auftreten können. Dieses Problem tritt auf, wenn die folgenden Windows-Updates auf Windows 11 24H2 und 25H2 und Windows Server 2025 installiert sind:

Auf betroffenen Systemen treten Authentifizierungsfehler wie folgt auf:

• Benutzer werden wiederholt zur Eingabe von Anmeldeinformationen aufgefordert.
• Zugriffsanfragen mit gültigen Anmeldeinformationen schlagen mit der folgenden Fehlermeldung auf dem Bildschirm fehl:
  • Der Anmeldeversuch ist fehlgeschlagen
  • Manchmal stimmt die Maschinen-ID nicht überein
  • Benutzername oder Passwort sind falsch
• Auf freigegebene Netzwerkordner kann nicht über die IP-Adresse oder den Hostnamen zugegriffen werden.
• Remotedesktopverbindungen können nicht hergestellt werden, einschließlich RDP-Sitzungen (Remote Desktop Protocol), die über PAM-Lösungen (Privileged Access Management) oder Tools von Drittanbietern initiiert werden.
• Der Failover-Cluster schlägt mit der Fehlermeldung „Zugriff verweigert“ fehl.
• Die Ereignisanzeige zeigt möglicherweise einen der folgenden Fehler in den Windows-Protokollen an:
  • Das Sicherheitsprotokoll enthält den Fehler SEC_E_NO_CREDENTIALS.
  • Das Systemprotokoll enthält die Ereignis-ID 6167 des Local Security Authority Server Service (lsasrv.dll) mit dem Meldungstext: Es gibt eine teilweise Übereinstimmung mit der Maschinen-ID. Dies weist darauf hin, dass die Karte manipuliert wurde oder aus einer anderen Startsitzung stammt.

Hintergrund ist, dass am 29. August 2025 veröffentlichte Windows-Updates über zusätzliche Sicherheitsmaßnahmen verfügen, die SID-Prüfungen erzwingen. Dies führt dazu, dass die Authentifizierung mit NTLM und Kerberos fehlschlägt, sobald Geräte über doppelte SIDs verfügen. Diese Designänderung blockiert Authentifizierungsrechte zwischen solchen Geräten.

Fehlgeschlagene Authentifizierungsanfragen im Zusammenhang mit diesen Sicherheitsmaßnahmen werden durch die Ereignis-ID 6167 des lokalen Sicherheitsautoritätsserverdienstes im Systemereignisprotokoll identifiziert.

Diese doppelten SIDs können während der Installation, beim nicht unterstützten Klonen oder beim Duplizieren einer Windows-Installation ohne Ausführung von Sysprep erstellt werden. Die in Sysprep aktivierte SID-Funktion ist für die Betriebssystemduplizierung in den Versionen Windows 11, 24H2 und 25H2 und Windows Server 2025 nach der Installation der Windows-Updates für Windows Server 2025 am 29. August 2025 obligatorisch (siehe Microsoft-Richtlinie für die Duplizierung von Windows-Installationsdatenträgern).

Die Lösung des oben genannten Problems erfordert, dass Administratoren die betroffenen Maschinen mit einer neuen SID konfigurieren. Computeradministratoren können dieses Problem vorübergehend lösen, indem sie eine spezielle Gruppenrichtlinie installieren und konfigurieren (die die oben genannte Prüfung möglicherweise umgeht). Für diese spezielle Gruppenrichtlinie wenden Sie sich bitte an den Microsoft Business Support.