Viele Unternehmen haben das Thema noch nicht auf dem Radar – dabei kann es schon sehr bald kritisch werden:
Microsoft deaktiviert mit aktuellen Windows-Patches für Domain Controller die RC4-Verschlüsselung für Kerberos. Spätestens ab Juli soll ein erneutes Aktivieren nicht mehr möglich sein.
Warum ist das für SAP-Systeme relevant?
Gerade im Umfeld von SAP SSO / SPNEGO verlassen sich viele Kunden darauf, dass automatisch die „beste verfügbare Verschlüsselung“ genutzt wird. In der Praxis sehen wir jedoch häufig ein anderes Bild:
➡️ Obwohl AES im Active Directory aktiviert ist
➡️ und SPNEGO scheinbar korrekt konfiguriert wurde
➡️ werden im Hintergrund weiterhin RC4-Tickets verwendet
Ein besonders tückischer Punkt:
Der UserPrincipalName-Präfix ist für AES case-sensitive. Stimmen SAP- und AD-Definition nicht exakt überein, fällt Kerberos auf RC4 zurück.
Die Folge nach den aktuellen AD-Patches:
❌ SSO funktioniert plötzlich nicht mehr
❌ Benutzer können sich nicht mehr anmelden
❌ Besonders kritisch: Viele Anwender kennen ihre SAP-Passwörter gar nicht mehr
Unsere Empfehlung für alle SAP-Basis- und Infrastruktur-Teams:
✅ Prüfen, ob noch RC4-Tickets ausgestellt werden
✅ SPNEGO-/Kerberos-Konfiguration validieren
✅ UPN-Schreibweisen zwischen SAP und AD abgleichen
✅ Vor Juli aktiv handeln – nicht erst nach dem ersten Incident
Hilfreiche SAP-Hinweise:
Als SAP Basis Beratung unterstützen wir Unternehmen aktuell genau bei diesen Prüfungen und der Absicherung ihrer SSO-Landschaften, bevor es produktiv zu Ausfällen kommt.
👉 Wenn Sie unsicher sind, ob Ihre SAP-/AD-Integration betroffen ist, melden Sie sich gerne – wir helfen bei Analyse, Validierung und Umsetzung.