8. november 2022 – KB5020003 (ainult turbevärskendus)

Tunnus

Järgmine toiming

Pärast selle värskenduse või uuema Windowsi värskenduse installimist võivad domeeniga liitumise toimingud nurjuda ja ilmneb tõrge "0xaac (2732): NERR_AccountReuseBlockedByPolicy". Lisaks on Active Directorys olemas tekst"Sama nimega konto. Võidakse kuvada turbepoliitikaga blokeeritud konto uuesti kasutamine.

Mõjutatud stsenaariumide hulka kuuluvad mõned domeeniga liitumise või uuesti kuvamise toimingud, mille korral arvuti konto lõi või eeletapis muu identiteet kui identiteet, mida kasutati arvuti domeeniga liitumiseks või uuesti liitumiseks.

Selle probleemi kohta leiate lisateavet artiklist KB5020276 – Netjoin: domeeniga liitumise karastusmuudatused.

Märkus Tarbijate töölauaväljaannetes Windowsis see probleem tõenäoliselt ei ilmne.

Selle probleemi kohta leiate juhiseid teemast KB5020276 .

Pärast 8. novembril 2022 välja antud Windowsi värskenduste installimist Windows Serverites, mis kasutavad domeenikontrolleri rolli, võib teil olla probleeme Kerberose autentimisega. See probleem võib mõjutada kerberose autentimist teie keskkonnas. Mõni stsenaarium, mida see võib mõjutada, on järgmised.

• Domeeni kasutaja sisselogimine võib nurjuda. See võib mõjutada ka Active Directory Federation Services (AD FS) autentimist.

• Teenuste (nt IiS-i veebiserver) jaoks kasutatavate rühma hallatavate teenusekontode (gMSA) autentimine võib nurjuda.

• Domeenikasutajaid kasutavad kaugtöölaua ühendused ei pruugi ühendust luua.

• Võimalik, et teil pole juurdepääsu tööjaamade ühiskaustadele ja serverite failiketastele.

• Domeenikasutaja autentimist nõudv printimine võib nurjuda.

Selle probleemi ilmnemisel võidakse domeenikontrolleri sündmuselogi jaotises Süsteem kuvada tõrkesündmus Microsoft-Windows-Kerberos-Key-Distribution-Center Event ID 4.

Märkus Mõjutatud sündmused sisaldavad stringi "puuduva võtme ID on 1":

While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key.

Märkus Alates 2022. aasta novembri turbevärskendusest ei ole see probleem Netlogoni ja Kerberose turbekõvenemise eeldatud osa. Nendes artiklites toodud juhiseid tuleb järgida ka pärast selle probleemi lahendamist.

See probleem ei mõjuta Windowsi seadmeid, mida kasutavad kodus tarbijad või seadmed, mis ei kuulu kohapealsesse domeeni. See ei mõjuta Azure Active Directory keskkondi, mis pole hübriidkeskkonnas ja millel pole kohapealne Active Directory servereid.

See probleem on lahendatud värskenduses KB5021652.

Pärast selle värskenduse või uuema värskenduse installimist domeenikontrolleris (DC) võib ilmneda mäluleke teenuses Local Security Authority Subsystem Service (LSASS,exe). Olenevalt teie DC töökoormusest ja serveri viimasest taaskäivitamisest möödunud ajast võib LSASS serveri tööaega pidevalt suurendada ning server võib hanguda või automaatselt taaskäivituda.

Märkus See probleem võib mõjutada 17. novembril 2022 ja 18. novembril 2022 välja antud ribaväliseid värskendusi.

Selle probleemi leevendamiseks avage käsuviip administraatorina ja määrake registrivõtme KrbtgtFullPacSignature väärtuseks 0 järgmine käsk:

reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD

Märkus Pärast selle teadaoleva probleemi lahendamist peaksite seadma KrbtgtFullPacSignature'i suurema sätte olenevalt sellest, mida teie keskkond lubab. Soovitame jõustamisrežiimi lubada kohe, kui teie keskkond on valmis.

Selle registrivõtme kohta leiate lisateavet artiklist KB5020805: Kuidas hallata Kerberose protokolli muudatusi, mis on seotud CVE-2022-37967-ga.

Tegeleme lahenduse otsimisega ja lisame selle mõnda edaspidi välja antavasse värskendusse.

Pärast selle värskenduse installimist ei pruugi rakendused, mis kasutavad ODBC-ühendusi Microsoft ODBC SQL Server draiveri (sqlsrv32.dll) kaudu andmebaasidele juurdepääsuks, ühendust luua. Lisaks võidakse rakenduses kuvada tõrketeade või SQL Server tõrketeade. Teile võidakse kuvada järgmised tõrketeated.

• EMS-i süsteemis ilmnes probleem.
  Sõnum: [Microsoft][ODBC SQL Server Driver] Protokollitõrge TDS-voos.

• EMS-i süsteemis ilmnes probleem.
  Sõnum: [Microsoft][ODBC SQL Server draiver] SQL Server saadud tundmatu tõend.

Märkus arendajatele: Selle probleemiga seotud rakendused ei pruugi andmeid tuua (nt funktsiooni SQLFetch kasutamisel). See probleem võib ilmneda funktsiooni SQLBindCol kutsumisel enne SQLFetchi või funktsiooni SQLGetData kutsumist pärast SQLFetchi ja kui argumendi BufferLength väärtuseks on antud 0 (null), kui fikseeritud andmetüübid on suuremad kui 4 baiti (nt SQL_C_FLOAT).

Et otsustada, kas kasutate mõjutatud rakendust, avage rakendus, mis loob ühenduse andmebaasiga. Avage käsuviiba aken, tippige järgmine käsk ja vajutage sisestusklahvi (Enter):

tasklist /m sqlsrv32.dll

Kui käsk tagastab ülesande, võib see rakendust mõjutada.

Selle probleemi leevendamiseks tehke ühte järgmistest.

• Kui teie rakendus juba kasutab või saab kasutada andmeallika nime (DSN) ODBC-ühenduste valimiseks, installige microsoft ODBC Driver 17 SQL Server jaoks ja valige see kasutamiseks oma rakendusega DSN-i abil.
  
  Märkus: Soovitame SQL Server jaoks Microsoft ODBC Driver 17 uusimat versiooni, kuna see ühildub paremini rakendustega, mis kasutavad praegu Microsoft ODBC SQL Server päranddraiverit (sqlsrv32.dll) kui Microsoft ODBC Driver 18 for SQL Server.

• Kui teie rakendus ei saa DSN-i kasutada, tuleb rakendust DSN-i lubamiseks või Microsoft ODBC SQL Server draiverist (sqlsrv32.dll) uuema ODBC-draiveri kasutamiseks muuta.

Selle probleemi lahendas värskendus KB5022343. Kui olete eespool kirjeldatud lahenduse rakendanud, on soovitatav ajutises lahenduses konfiguratsiooni edasi kasutada.

Väljalaske kanal

Saadaval

Järgmine etapp

Windows Update ja Microsoft Update

Ei

Vaadake allpool muid võimalusi.

Microsoft Update’i kataloog

Jah

Värskenduse autonoomse paketi hankimiseks minge Microsoft Update'i kataloogi veebisaidile.

Windows Server Update Services (WSUS)

Jah

See värskendus sünkroonitakse automaatselt WSUS-iga, kui konfigureerite Tooted ja liigitused järgmiselt.

Toode: Windows Server 2012, Windows Embedded 8 Standard

Liigitus: turbevärskendus