2022 m. lapkričio 8 d. – KB5020010 (tik saugos naujinimas)

Požymis

Kitas veiksmas

Įdiegus šį naujinimą arba naujesnį "Windows" naujinimą, domenų sujungimo operacijos gali būti nesėkmingos ir gali įvykti klaida "0xaac (2732): NERR_AccountReuseBlockedByPolicy". Be to, tekstas, nurodantis, kad "Active Directory" yra paskyra tokiu pačiu pavadinimu. Gali būti rodomas paskyros pakartotinis naudojimas pagal saugos strategiją".

Paveikti scenarijai apima kai kurias prisijungimo prie domeno arba pakartotinio vaizdavimo operacijas, kai kompiuterio paskyra buvo sukurta arba iš anksto sukurta naudojant kitą tapatybę nei tapatybė, naudojama prijungti arba iš naujo prijungti kompiuterį prie domeno.

Daugiau informacijos apie šią problemą žr. KB5020276 – "Netjoin": prisijungimo prie domeno sustijimo keitimai.

Pastaba Mažai tikėtina, kad vartotojų kompiuteriams skirti "Windows" leidimai nepatirs šios problemos.

Ši problema išspręsta KB5023764.

Įdiegus "Windows" naujinimus, išleistus 2022 m. lapkričio 8 d. arba vėliau "Windows" serveriuose, kuriuose naudojamas domeno valdiklio vaidmuo, gali kilti problemų dėl "Kerberos" autentifikavimo. Ši problema gali turėti įtakos bet kokiam "Kerberos" autentifikavimui jūsų aplinkoje. Kai kurie scenarijai, kurie gali būti paveikti:

• Gali nepavykti prisijungti prie domeno vartotojo. Tai taip pat gali turėti įtakos "Active Directory" susiejimo tarnyba (AD FS) autentifikavimui.

• Gali nepavykti autentifikuoti grupės valdomų tarnybų abonementų (gMSA), naudojamų tokiose tarnybose kaip informacinės interneto paslaugos (IIS žiniatinklio serveris).

• Nuotolinio darbalaukio ryšiams naudojant domeno vartotojus gali nepavykti prisijungti.

• Jums gali nepavykti pasiekti bendrai naudojamų aplankų darbo vietose ir bendrai naudojamų failų serveriuose.

• Spausdinimas, kuriam reikia domeno vartotojo autentifikavimo, gali nepavykti.

Iškilus šiai problemai, galite gauti Microsoft-Windows-Kerberos-Key-Distribution-Center įvykio ID 4 klaidos įvykis sistemos skyriaus įvykių žurnale domeno valdiklyje su toliau teksto.

Pastaba Paveiktuose įvykiuose bus "trūkstamo rakto ID yra 1" eilutė:

While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key.

Pastaba Ši problema nėra numatoma tinklo registravimo ir "Kerberos" saugos griežinimo dalis, pradedant nuo 2022 m. lapkričio mėn. saugos naujinimo. Vis tiek turėsite vadovautis šiuose straipsniuose pateikiamais nurodymais, net kai ši problema bus išspręsta.

Ši problema neturi įtakos "Windows" įrenginiams, kuriuos namuose naudoja vartotojai arba įrenginiai, kurie nėra vietinio domeno dalis. "Azure Active Directory" aplinkos, kurios nėra hibridinės ir neturi Vietinis "Active Directory" serverių, tai neturi įtakos.

Ši problema išspręsta naujinime KB5021653.

Įdiegus šį naujinimą arba naujesnį naujinimą domeno valdiklyje (DC), gali kilti atminties nutekėjimas su vietos saugos institucijos posistemės tarnyba (LSASS,exe). Atsižvelgiant į JŪSŲ DC darbo krūvį ir laiką nuo paskutinio serverio paleidimo iš naujo, LSASS gali nuolat didinti atminties naudojimą su serverio veikimo laiku ir serveris gali nebereaguoti arba būti automatiškai paleistas iš naujo.

Pastaba Ši problema gali turėti įtakos 2022 m. lapkričio 17 d. ir 2022 m. lapkričio 18 d. išleistiems kompiuteriams skirtiems ne juostos naujinimams.

Norėdami išspręsti šią problemą, atidarykite komandinę eilutę kaip administratorius ir naudodami šią komandą nustatykite registro raktą KrbtgtFullPacSignature į 0:

reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD

Pastaba Išsprendę šią žinomą problemą, turite nustatyti "KrbtgtFullPacSignature " į didesnį parametrą, atsižvelgiant į tai, ką leis jūsų aplinka. Rekomenduojame įgalinti vykdymo režimą, kai tik jūsų aplinka bus paruošta.

Daugiau informacijos apie šį registro raktą žr. KB5020805: Kaip valdyti "Kerberos" protokolo pakeitimus, susijusius su CVE-2022-37967.

Stengiamės rasti sprendimą ir pateiksime naujinimą būsimame leidime.

Įdiegus šį naujinimą, programos, kurios naudoja ODBC ryšius per "Microsoft ODBC" "SQL Server" tvarkyklę (sqlsrv32.dll), kad pasiektų duomenų bazes, gali neprisijungti. Be to, galite gauti klaidą programoje arba galite gauti klaidą iš "SQL Server". Galimos klaidos:

• EMS sistemoje kilo problema.
  Pranešimas: [Microsoft][ODBC "SQL Server" tvarkyklė] Protokolo klaida TDS sraute.

• EMS sistemoje kilo problema.
  Pranešimas: [Microsoft][ODBC "SQL Server" tvarkyklė] Iš "SQL Server" gautas nežinomas atpažinimo ženklas.

Pastaba kūrėjams: Programėlėms, kurias paveikė ši problema, gali nepavykti iškviesti duomenų, pvz., naudojant "SQLFetch" funkciją. Ši problema gali kilti iškviečiant SQLBindCol funkciją prieš SQLFetch arba iškviečiant SQLGetData funkciją po SQLFetch ir kai argumento BufferLength reikšmė yra 0 (nulis), skirta fiksuotiems duomenų tipams, didesniems nei 4 baitai (pvz., SQL_C_FLOAT).

Norėdami nuspręsti, ar naudojate paveiktą taikomąją programą, atidarykite taikomąją programą, kuri prisijungia prie duomenų bazės. Atidarykite komandinės eilutės langą, įveskite šią komandą ir paspauskite "Enter":

tasklist /m sqlsrv32.dll

Jei komanda pateikia užduotį, tai gali turėti įtakos programai.

Norėdami išspręsti šią problemą, galite atlikti vieną iš šių veiksmų:

• Jei jūsų taikomoji programa jau naudoja arba gali naudoti duomenų šaltinio pavadinimą (DSN) ODBC ryšiams pasirinkti, įdiekite "Microsoft ODBC" tvarkyklę 17, skirtą "SQL Server", ir pasirinkite ją naudoti su savo programa naudodami DSN.
  
  Pastaba: Rekomenduojame naujausią "Microsoft ODBC Driver 17" versiją, skirtą "SQL Server"", nes ji labiau suderinama su programomis, kurios šiuo metu naudoja senstelėjusią "Microsoft ODBC" "SQL Server" tvarkyklę (sqlsrv32.dll) nei "Microsoft ODBC Driver 18", skirtą "SQL Server"".

• Jei jūsų taikomoji programa negali naudoti DSN, programą reikės modifikuoti, kad būtų leidžiama DSN arba naudojama naujesnė ODBC tvarkyklė nei "Microsoft ODBC" "SQL Server" tvarkyklė (sqlsrv32.dll).

Ši problema buvo išspręsta KB5022346. Jei įdiegėte anksčiau aprašytą sprendimo būdą, rekomenduojame toliau naudoti konfigūraciją sprendimo būdą.

Išleidimo kanalas

Yra

Kitas veiksmas

„Windows Update“ ir „Microsoft Update“

Ne

Peržiūrėkite kitas parinktis toliau.

„Microsoft Update“ katalogas

Taip

Norėdami gauti atskirą šio naujinimo paketą, eikite į "Microsoft Update" katalogo svetainę.

„Windows Server Update Services“ (WSUS)

Taip

Šis naujinimas bus automatiškai sinchronizuojamas su WSUS, jei Produktai ir klasifikacija sukonfigūruosite toliau pateiktu būdu:

Produktas: „Windows 8.1”, „Windows Server 2012 R2”, „Windows Embedded 8.1 Industry Enterprise”, „Windows Embedded 8.1 Industry Pro”

Klasifikacija: saugos naujinimas