8. november 2022 – KB5020005 (kun sikkerhedsopdatering)
Applies To
Windows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESUFrigivelsesdato:
08-11-2022
Version:
Kun sikkerhedsopdatering
Sammendrag
Du kan finde flere oplysninger om denne sikkerhedsopdatering, herunder forbedringer, kendte problemer, og hvordan du får opdateringen.
PÅMINDELSEWindows Server 2008 Service Pack 2 (SP2) har nået slutdatoen for generel support og har nu forlænget support. Fra og med juli 2020 vil der ikke længere være valgfrie, ikke-sikkerhedsrelaterede udgivelser (kaldet "C"-versioner) til dette operativsystem. Operativsystemer med forlænget support har kun kumulative månedlige sikkerhedsopdateringer (kendt som "B" eller Opdater tirsdagsversion).
Kontrollér, at du har installeret de nødvendige opdateringer i afsnittet Sådan får du denne opdatering, før du installerer denne opdatering.
Kunder, der har købt den udvidede sikkerhedsopdatering (ESU) til lokale versioner af dette operativsystem, skal følge procedurerne i KB4522133 for at fortsætte med at modtage sikkerhedsopdateringer, efter at den forlængede support ophørte den 14. januar 2020. Du kan få mere at vide om ESU, og hvilke udgaver der understøttes, i KB4497181.
Da ESU er tilgængelig som en separat SKU for hvert af de år, de tilbydes (2020, 2021 og 2022) – og fordi ESU kun kan købes i bestemte perioder på 12 måneder – skal du købe det tredje år med ESU-dækning separat og aktivere en ny nøgle på hver relevant enhed, så dine enheder fortsat kan modtage sikkerhedsopdateringer i 2022.
Hvis din organisation ikke har købt det tredje år med ESU-dækning, skal du købe år 1, år 2 og år 3 ESU for dine relevante Windows Server 2008 SP2-enheder, før du installerer og aktiverer year 3 MAK-nøglerne for at modtage opdateringer. Trinnene til at installere, aktivere og installere ESU'er er de samme for første, andet og tredje års dækning. Du kan finde flere oplysninger under Få udvidet sikkerhed Opdateringer for berettigede Windows-enheder til volumenlicensprocessen og Køb af Windows 7 ESU'er som cloudløsningsudbyder til CSP-processen. For integrerede enheder skal du kontakte producenten af originalt udstyr (OEM).
Du kan få mere at vide i ESU-bloggen.
Forbedringer
Denne sikkerhedsopdatering indeholder vigtige ændringer for følgende:
-
Opdateringer sommertid for Jordan for at forhindre, at uret flyttes 1 time tilbage den 28. oktober 2022. Desuden ændres det viste navn på Jordans standardtid fra "(UTC+02:00) Amman" til "(UTC+03:00) Amman".
-
Løser et problem, hvor oprettelsesprocessen for Forest Trust ikke kan udfylde DNS-navnesuffikserne i attributterne for tillidsoplysninger efter installation af opdateringen d. 11. januar 2022 eller nyere.
-
Løser sikkerhedsrisici i Kerberos- og Netlogon-protokollerne som beskrevet i CVE-2022-38023, CVE-2022-37966 og CVE-2022-37967. Du kan få installationsvejledning i følgende artikler:
-
KB5020805: Sådan administrerer du Kerberos-protokolændringer, der er relateret til CVE-2022-37967
-
KB5021130: Sådan administrerer du Ændringer i Netlogon-protokollen relateret til CVE-2022-38023
-
KB5021131: Sådan administrerer du Kerberos-protokolændringer relateret til CVE-2022-37966
Du kan finde flere oplysninger om de sikkerhedssårbarheder, der er løst, under Installationer | Sikkerhedsopdateringsvejledning og sikkerheds-Opdateringer for november 2022.
-
Du kan finde flere oplysninger om de sikkerhedssårbarheder, der er løst, under Installationer | Sikkerhedsopdateringsvejledning og sikkerheds-Opdateringer for november 2022.
Kendte problemer i denne opdatering
Symptom |
Næste trin |
Når du har installeret denne opdatering og genstartet enheden, vises fejlen "Fejl ved konfiguration af Windows-opdateringer. Rydder ændringer. Sluk ikke computeren" muligvis, og opdateringen kan blive vist som Mislykket i Opdateringsoversigt. |
Det er forventet i følgende tilfælde:
Hvis du har købt en ESU-nøgle og er stødt på dette problem, skal du kontrollere, at du har anvendt alle forudsætninger, og at nøglen er aktiveret. Du kan få mere at vide om aktivering i dette blogindlæg. Hvis du vil have mere at vide om forudsætninger, skal du se afsnittet "Sådan får du denne opdatering" i denne artikel. |
Når denne opdatering eller en nyere Windows-opdatering er installeret, kan domænetilknytningshandlinger mislykkes, og fejlen "0xaac (2732): NERR_AccountReuseBlockedByPolicy" opstår. Desuden er der en tekst med teksten "Der findes en konto med samme navn i Active Directory. Genbrug af kontoen blev blokeret af sikkerhedspolitik" vises muligvis. Påvirkede scenarier omfatter nogle domænetilslutnings- eller genafbildningshandlinger, hvor en computerkonto blev oprettet eller på forhånd faseinddelt af en anden identitet end den identitet, der bruges til at forbinde computeren til domænet eller slutte den igen. Du kan få mere at vide om dette problem i KB5020276 – Netjoin: Ændringer i hærdning af domænetilknytning. Bemærk! Det er usandsynligt, at forbrugerskrivebordsudgaver af Windows vil opleve dette problem. |
Se KB5020276 for at få vejledning til dette problem. |
Når du har installeret Windows-opdateringer, der er udgivet den 8. november 2022 eller derefter på Windows-servere, der bruger rollen domænecontroller, kan der være problemer med Kerberos-godkendelse. Dette problem kan påvirke kerberos-godkendelse i dit miljø. Nogle scenarier, der kan blive påvirket:
Når dette problem opstår, modtager du muligvis en Microsoft-Windows-Kerberos-Key-Distribution-Center-hændelses-id 4-fejlhændelse i afsnittet System i hændelsesloggen på din domænecontroller med nedenstående tekst. Bemærk! Berørte hændelser indeholder strengen "den manglende nøgle har et id på 1":
Bemærk! Dette problem er ikke en forventet del af sikkerhedshærdningen for Netlogon og Kerberos fra og med november 2022-sikkerhedsopdateringen. Du skal stadig følge vejledningen i disse artikler, selv når problemet er løst. Windows-enheder, der bruges hjemme af forbrugere eller enheder, der ikke er en del af et lokalt domæne, påvirkes ikke af dette problem. Azure Active Directory-miljøer, der ikke er hybride og ikke har Active Directory i det lokale miljø-servere, påvirkes ikke. |
Dette problem er løst i opdatering KB5021657. |
Når du har installeret denne opdatering eller en nyere opdatering på en domænecontroller (DC), kan du opleve en hukommelsesfejl med LSASS,exe (Local Security Authority Subsystem Service). Afhængigt af arbejdsmængden for din domænecontroller og mængden af tid siden den seneste genstart af serveren kan LSASS kontinuerligt øge hukommelsesforbruget med serverens oppetid, og serveren svarer muligvis ikke eller genstarter automatisk. Bemærk! De out of band-opdateringer til domænecontrollere, der er udgivet d. 17. november 2022 og d. 18. november 2022, kan blive påvirket af dette problem. |
Du kan afhjælpe dette problem ved at åbne en kommandoprompt som administrator og bruge følgende kommando til at indstille registreringsdatabasenøglen KrbtgtFullPacSignature til 0:
Bemærk Når dette kendte problem er løst, skal du angive KrbtgtFullPacSignature til en højere indstilling, afhængigt af hvad dit miljø tillader. Vi anbefaler, at du aktiverer gennemtvingelsestilstand, så snart dit miljø er klar. Du kan få mere at vide om denne registreringsdatabasenøgle i KB5020805: Sådan administrerer du Kerberos-protokolændringer, der er relateret til CVE-2022-37967. Vi arbejder på en løsning og vil levere en opdatering i en kommende version. |
Når du har installeret denne opdatering, kan apps, der bruger ODBC-forbindelser via Microsoft ODBC SQL Server Driver (sqlsrv32.dll) til at få adgang til databaser, muligvis ikke oprette forbindelse. Desuden kan du få vist en fejl i appen, eller du kan få vist en fejl fra SQL Server. Fejl, du kan modtage, omfatter muligvis følgende meddelelser:
Bemærkning til udviklere: Apps, der er påvirket af dette problem, kan muligvis ikke hente data, f.eks. når du bruger funktionen SQLFetch. Dette problem kan opstå, når funktionen SQLBindCol kaldes før funktionen SQLFetch eller kald af funktionen SQLGetData efter SQLFetch, og når der angives en værdi på 0 (nul) for argumentet 'BufferLength' for faste datatyper, der er større end 4 byte (f.eks. SQL_C_FLOAT). Hvis du vil beslutte, om du bruger en berørt app, skal du åbne den app, der opretter forbindelse til en database. Åbn et kommandolinjevindue, skriv følgende kommando, og tryk derefter på Enter:
Hvis kommandoen returnerer en opgave, kan appen blive påvirket. |
Du kan afhjælpe dette problem ved at gøre et af følgende:
Dette problem blev løst i KB5022353. Hvis du har implementeret ovenstående løsning, anbefales det at fortsætte med at bruge konfigurationen i løsningen. |
Sådan henter du denne opdatering
Før du installerer denne opdatering
VIGTIGT Kunder, der har købt den udvidede sikkerhedsopdatering (ESU) til lokale versioner af dette operativsystem, skal følge procedurerne i KB4522133 for at fortsætte med at modtage sikkerhedsopdateringer, fordi den udvidede support ophørte den 14. januar 2020.
Du kan få mere at vide om ESU, og hvilke udgaver der understøttes, i KB4497181.
Sprogpakker
Hvis du installerer en sprogpakke, når du har installeret denne opdatering, skal du geninstallere denne opdatering. Derfor anbefaler vi, at du installerer de sprogpakker, du har brug for, før du installerer denne opdatering. Du kan få mere at vide under Føj sprogpakker til Windows.
Forudsætning
Du skal installere de opdateringer, der er anført nedenfor, og genstarte din enhed, før du installerer den nyeste opdateringspakke. Hvis du installerer disse opdateringer, forbedres pålideligheden af opdateringsprocessen, og risikoen for problemer mindskes under installation af opdateringspakken og anvendelse af Microsofts sikkerhedsrettelser.
-
Opdateringen til behandlingsstakken (SSU– servicing stack update) fra 9. april 2019 (KB4493730). Du kan få den separate pakke til denne SSU ved at søge efter den i Microsoft Update-kataloget. Denne opdatering kræves for at installere opdateringer, der kun er SHA-2 signeret.
-
Den seneste SHA-2-opdatering (KB4474419), der blev udgivet d. 8. oktober 2019. Hvis du bruger Windows Update, får du automatisk tilbudt den nyeste SHA-2-opdatering. Denne opdatering kræves for at installere opdateringer, der kun er SHA-2 signeret. Du kan finde flere oplysninger om SHA-2-opdateringer under Krav til understøttelse af 2019 SHA-2-kodesignering for Windows og WSUS.
-
Licensklargøringspakken til ESU (Extended Security Opdateringer) (KB4538484) eller opdateringen til licensklargøringspakken til udvidet Opdateringer (ESU) (KB4575904). Du får tilbudt ESU-licensklargøringspakken fra WSUS. Du kan få den separate pakke til ESU-licensklargøringspakken ved at søge efter den i Microsoft Update-kataloget.
Når du har installeret elementerne ovenfor, anbefaler vi på det kraftigste, at du installerer den seneste SSU (KB5016129). Hvis du bruger Windows Update og er ESU-kunde, får du automatisk tilbudt den seneste SSU. Du kan få den separate pakke til den nyeste SSU ved at søge efter den i Microsoft Update-kataloget. Du kan finde generelle oplysninger om SSU'er under Opdateringer til behandlingsstakken og Serviceringsstak Opdateringer (SSU): Ofte stillede spørgsmål.
PÅMINDELSE Hvis du bruger kun sikkerhedsopdateringer, skal du også installere alle tidligere sikkerhedsopdateringer og den seneste samlede opdatering til Internet Explorer (KB5019958).
Installér denne opdatering
Frigivelseskanal |
Tilgængelig |
Næste trin |
Windows Update og Microsoft Update. |
Nej |
Se de andre muligheder nedenfor. |
Microsoft Update-katalog |
Ja |
Du kan få den separate pakke til denne opdatering ved at gå til webstedet Microsoft Update-katalog. |
Windows Server Update Services (WSUS) |
Ja |
Denne opdatering synkroniseres automatisk med WSUS, hvis du konfigurerer Produkter og klassifikationer sådan: Produkt: Windows Server 2008 Service Pack 2 Klassifikation: Sikkerhedsopdateringer |
Filoplysninger
Du kan få en liste over de filer, som denne opdatering omfatter, ved at downloade filoplysninger for opdatering KB5020005.
Referencer
Få mere at vide om den standardterminologi , der bruges til at beskrive Microsoft-softwareopdateringer.