Applies ToWindows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019

Symptomer

Utskrift og skanning kan mislykkes når disse enhetene bruker smartkortgodkjenning (PIV). 

Obs!   Enheter som påvirkes når du bruker smartkortgodkjenning (PIV), skal fungere som forventet når du bruker brukernavn og passordgodkjenning.

Årsak

13. juli 2021 Microsoft utgitt herdingsendringer for CVE-2021-33764 Dette kan føre til dette problemet når du installerer oppdateringer utgitt 13. juli 2021 eller nyere versjoner på en domenekontroller (DC).  De berørte enhetene er smartkort som godkjenner skrivere, skannere og enheter med flere funksjoner som ikke støtter enten Diffie-Hellman (DH) for nøkkelutveksling under PKINIT Kerberos-godkjenning eller ikke annonserer støtte for des-ede3-cbc ("triple DES") under Kerberos AS-forespørselen .

I henhold til avsnitt 3.2.1 i RFC 4556-spesifikasjonen, for at denne nøkkelutvekslingen skal fungere, må klienten både støtte og varsle nøkkeldistribusjonssenteret (KDC) om deres støtte for des-ede3-cbc ("triple DES"). Klienter som starter Kerberos PKINIT med nøkkelutveksling i krypteringsmodus, men verken støtter eller forteller KDC at de støtter des-ede3-cbc ("triple DES"), vil bli avvist.

For at skriver- og skannerklientenheter skal være kompatible, må de enten:

  • Bruk Diffie-Hellman for nøkkelutveksling under PKINIT Kerberos-godkjenning (foretrukket).

  • Eller både støtte og varsle KDC om deres støtte for des-ede3-cbc ("triple DES").

Neste trinn

Hvis du støter på dette problemet med utskrifts- eller skanneenhetene, må du kontrollere at du bruker den nyeste fastvaren og driverne som er tilgjengelige for enheten. Hvis fastvaren og driverne er oppdatert og du fremdeles støter på dette problemet, anbefaler vi at du kontakter enhetsprodusenten. Spør om en konfigurasjonsendring er nødvendig for å få enheten i samsvar med den harde endringen for CVE-2021-33764 , eller om en kompatibel oppdatering blir gjort tilgjengelig.

Hvis det for øyeblikket ikke er mulig å få enhetene i samsvar med avsnitt 3.2.1 i RFC 4556-spesifikasjonen som kreves for CVE-2021-33764, er en midlertidig begrensning nå tilgjengelig mens du arbeider med produsenten av utskrifts- eller skanneenheten for å få miljøet i samsvar innenfor tidslinjen nedenfor.

Viktig!   Du må ha de ikke-kompatible enhetene oppdatert og kompatible eller erstattet med 12. juli 2022, når den midlertidige reduksjonen ikke kan brukes i sikkerhetsoppdateringer.

Viktig merknad

Alle midlertidige begrensninger for dette scenarioet vil bli fjernet i juli 2022 og august 2022, avhengig av hvilken versjon av Windows du bruker (se tabellen nedenfor). Det vil ikke være noe ytterligere tilbakefallsalternativ i senere oppdateringer. Alle ikke-kompatible enheter må identifiseres ved hjelp av overvåkingshendelsene fra og med januar 2022 og oppdateres eller erstattes av fjerning av begrensninger fra slutten av juli 2022. 

Etter juli 2022 vil enheter som ikke samsvarer med RFC 4456-spesifikasjonen og CVE-2021-33764, ikke kunne brukes med en oppdatert Windows-enhet.

Måldato

Hendelse

Gjelder for

13. juli 2021

Oppdateringer utgitt med herding endringer for CVE-2021-33764. Alle senere oppdateringer har denne herdingsendringen aktivert som standard.

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

27. juli 2021 kl.

Oppdateringer utgitt med midlertidig begrensning for å løse utskrifts- og skanneproblemer på ikke-kompatible enheter. Oppdateringer utgitt på denne datoen eller senere, må være installert på DC, og begrensningen må aktiveres via registernøkkelen ved hjelp av fremgangsmåten nedenfor.

Windows Server 2019

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

29. juli 2021 kl.

Oppdateringer utgitt med midlertidig begrensning for å løse utskrifts- og skanneproblemer på ikke-kompatible enheter. Oppdateringer utgivelse på denne datoen eller senere må være installert på DC, og begrensningen må aktiveres via registernøkkelen ved hjelp av fremgangsmåten nedenfor.

Windows Server 2016

25. januar 2022 kl.

Oppdateringer logger overvåkingshendelser på Active Directory-domenekontrollere som identifiserer skrivere som er RFC-4456-inkompatible skrivere som ikke kan godkjennes når DCer installerer oppdateringene for juli 2022/august 2022 eller senere.

Windows Server 2022

Windows Server 2019

8. februar 2022 kl.

Oppdateringer logger overvåkingshendelser på Active Directory-domenekontrollere som identifiserer skrivere som er RFC-4456-inkompatible skrivere som ikke kan godkjennes når DCer installerer oppdateringene for juli 2022/august 2022 eller senere.

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

21. juli 2022 kl.

Valgfri utgivelse av forhåndsvisningsoppdatering for å fjerne midlertidige begrensninger for å kreve klageutskrift og skanning av enheter i miljøet ditt.

Windows Server 2019

9. august 2022 kl.

Viktig!   Sikkerhetsoppdateringsutgivelse for å fjerne midlertidige begrensninger for å kreve klageutskrift og -skanning av enheter i miljøet ditt.

Alle oppdateringer som utgis på denne dagen eller senere, kan ikke bruke den midlertidige begrensningen.

Smartkort-autentiserende skrivere og skannere må være kompatible med avsnitt 3.2.1 i RFC 4556-spesifikasjonen som kreves for CVE-2021-33764 etter installasjon av disse oppdateringene eller nyere på Active Directory-domenekontrollere

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

Hvis du vil bruke den midlertidige begrensningen i miljøet, følger du disse trinnene på alle domenekontrollere:

  1. På domenekontrollerne angir du registerverdien for midlertidig begrensning som er oppført nedenfor, til 1 (aktiver) ved hjelp av Registerredigering eller automatiseringsverktøyene som er tilgjengelige i miljøet ditt.

    Obs!   Dette trinnet 1 kan gjøres før eller etter trinn 2 og 3.

  2. Installer en oppdatering som tillater midlertidig avløsning tilgjengelig i oppdateringer utgitt 27. juli 2021 eller nyere (nedenfor er de første oppdateringene som tillater midlertidig reduksjon):

  3. Start domenekontrolleren på nytt.

Registerverdi for midlertidig avløsning:

Advarsel! Det kan oppstå alvorlige problemer hvis du endrer registeret feil ved å bruke Registerredigering eller en annen metode. Disse problemene kan kreve at du installerer operativsystemet på nytt. Microsoft kan ikke garantere at disse problemene kan løses. Endre registeret på egen risiko.

Registerundernøkkel

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Verdi

Allow3DesFallback

Datatype

DWORD

Data

1 – Aktiver midlertidig reduksjon.

0 – Aktiver standard virkemåte, noe som krever at enhetene samsvarer med avsnitt 3.2.1 i RFC 4556-spesifikasjonen.

Kreves omstart?

Nei

Registernøkkelen ovenfor kan opprettes, og verdien og datasettet ved hjelp av følgende kommando:

  • reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f

Overvåkingshendelser

Windows-oppdateringen 25. januar 2022 og 8. februar 2022 legger også til nye hendelses-ID-er for å identifisere berørte enheter.

Hendelseslogg

System

Hendelsestype

Feil

Hendelseskilde

Kdcsvc

Hendelses-ID

307

39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2)

Hendelsestekst

Kerberos-klienten leverte ikke en støttet krypteringstype for bruk med PKINIT-protokollen ved hjelp av krypteringsmodus.

  • Klienthovednavn: <domenenavn>\<klientnavn>

  • Klient-IP-adresse: IPv4/IPv6

  • Klient medfølgende NetBIOS-navn: %3

Hendelseslogg

System

Hendelsestype

Advarsel

Hendelseskilde

Kdcsvc

Hendelses-ID

308

40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2)

Hendelsestekst

En ikke-samsvarende PKINIT Kerberos-klient godkjent til denne DC-en. Godkjenningen ble tillatt fordi KDCGlobalAllowDesFallBack ble angitt. I fremtiden vil disse tilkoblingene mislykkes godkjenning. Identifiser enheten, og se for å oppgradere Kerberos-implementeringen

  • Klienthovednavn: <domenenavn>\<klientnavn>

  • Klient-IP-adresse: IPv4/IPv6

  • Klient medfølgende NetBIOS-navn: %3

Status

Microsoft har bekreftet at dette er et problem i Microsoft produkter som er oppført i delen Gjelder for.

Trenger du mer hjelp?

Vil du ha flere alternativer?

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Fellesskap hjelper deg med å stille og svare på spørsmål, gi tilbakemelding og høre fra eksperter med stor kunnskap.