8 listopada 2022 r. — KB5020010 (tylko aktualizacja zabezpieczeń)

Objawy

Następny krok

Po zainstalowaniu tej lub nowszej aktualizacji systemu Windows operacje dołączania do domeny mogą zakończyć się niepowodzeniem i może wystąpić błąd "0xaac (2732): NERR_AccountReuseBlockedByPolicy". Ponadto w usłudze Active Directory istnieje tekst informujący o tym, że w usłudze Active Directory istnieje konto o tej samej nazwie. Ponowne użycie konta zostało zablokowane przez zasady zabezpieczeń" może zostać wyświetlone.

Scenariusze, których dotyczy problem, obejmują niektóre operacje przyłączania do domeny lub ponownego obrazowania, w których konto komputera zostało utworzone lub wstępnie wystawione przy użyciu innej tożsamości niż tożsamość użyta do dołączenia do domeny lub ponownego dołączenia do komputera.

Aby uzyskać więcej informacji na temat tego problemu, zobacz KB5020276 — Netjoin: zmiany zaostrzające sprzężenia domeny.

Uwaga Ten problem prawdopodobnie nie wystąpi w przypadku wersji konsumenckich systemu Windows.

Ten problem został rozwiązany w aktualizacji KB5023764.

Po zainstalowaniu aktualizacji systemu Windows wydanych 8 listopada 2022 r. w systemie Windows Server, które używają roli kontrolera domeny, mogą występować problemy z uwierzytelnianiem Kerberos. Ten problem może mieć wpływ na uwierzytelnianie Kerberos w twoim środowisku. Niektóre scenariusze, których może to dotyczyć:

• Logowanie użytkownika domeny może zakończyć się niepowodzeniem. Może to również mieć wpływ na uwierzytelnianie Active Directory Federation Services (AD FS).

• Uwierzytelnianie usług zarządzanych przez grupę (gMSA) używanych w usługach takich jak Internet Information Services (IIS Web Server) może się nie powieść.

• Połączenia pulpitu zdalnego korzystające z użytkowników domeny mogą nie łączyć się.

• Być może nie możesz uzyskać dostępu do folderów udostępnionych na stacjach roboczych i w udziałach plików na serwerach.

• Drukowanie wymagające uwierzytelniania użytkownika domeny może zakończyć się niepowodzeniem.

W przypadku wystąpienia tego problemu może zostać wyświetlone zdarzenie o identyfikatorze 4 zdarzenia Microsoft-Windows-Kerberos-Key-Distribution-Center w sekcji System dziennika zdarzeń na kontrolerze domeny z poniższym tekstem.

Uwaga Zdarzenia, których dotyczy problem, będą zawierać ciąg "brakujący klucz ma identyfikator 1":

While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key.

Uwaga Ten problem nie jest oczekiwanym elementem zaostrzenia zabezpieczeń dla programów Netlogon i Kerberos począwszy od aktualizacji zabezpieczeń z listopada 2022 r. Nadal będziesz musiał postępować zgodnie ze wskazówkami zawartymi w tych artykułach, nawet po rozwiązaniu tego problemu.

Ten problem nie dotyczy urządzeń z systemem Windows używanych w domu przez klientów lub urządzenia, które nie należą do domeny lokalnej. Środowiska usługi Azure Active Directory, które nie są hybrydowe i nie mają lokalna usługa Active Directory serwerów, nie mają wpływu.

Ten problem został rozwiązany w aktualizacji KB5021653.

Po zainstalowaniu tej aktualizacji lub nowszej aktualizacji na kontrolerze domeny (DC) może wystąpić przeciek pamięci w usłudze podsystemu urzędu zabezpieczeń lokalnych (LSASS,exe). W zależności od obciążenia pracą kontrolera domeny i czasu od ostatniego ponownego uruchomienia serwera usługa LSASS może stale zwiększać zużycie pamięci wraz z upływem czasu działania serwera, a serwer może przestać odpowiadać lub automatycznie ponownie uruchomić się.

Uwaga Ten problem może dotyczyć aktualizacji pozapasmowych dla komputerów DCs wydanych 17 listopada 2022 r. i 18 listopada 2022 r.

Aby ograniczyć ten problem, otwórz wiersz polecenia jako administrator i użyj następującego polecenia, aby ustawić klucz rejestru KrbtgtFullPacSignature na 0:

reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD

Uwaga Po rozwiązaniu tego znanego problemu należy ustawić dla opcji KrbtgtFullPacSignature wyższe ustawienie, w zależności od tego, na co zezwoli środowisko. Zalecamy włączenie trybu wymuszania zaraz po przygotowaniu środowiska.

Aby uzyskać więcej informacji na temat tego klucza rejestru, zobacz KB5020805: Jak zarządzać zmianami protokołu Kerberos dotyczącymi CVE-2022-37967.

Pracujemy nad rozwiązaniem tego problemu i udostępnimy aktualizację w najbliższej wersji.

Po zainstalowaniu tej aktualizacji aplikacje korzystające z połączeń ODBC za pośrednictwem SQL Server Sterownik firmy Microsoft (sqlsrv32.dll) do uzyskiwania dostępu do baz danych mogą nie łączyć się. Ponadto może zostać wyświetlony komunikat o błędzie w aplikacji lub może zostać wyświetlony komunikat o błędzie z SQL Server. Błędy, które mogą zostać wyświetlone, obejmują następujące komunikaty:

• System EMS napotkał problem.
  Komunikat: [Microsoft][ODBC SQL Server Driver] Protocol error in TDS Stream.

• System EMS napotkał problem.
  Komunikat: [Microsoft][Sterownik SQL Server ODBC] Nieznany token odebrany z SQL Server.

Uwaga dla deweloperów: Aplikacje, których dotyczy ten problem, mogą nie pobierać danych, na przykład podczas korzystania z funkcji SQLFetch. Ten problem może wystąpić podczas wywoływania funkcji SQLBindCol przed sqlfetch lub wywoływania funkcji SQLGetData po instrukcji SQLFetch i po podaniu wartości 0 (zero) dla argumentu "BufferLength" dla stałych typów danych większych niż 4 bajty (na przykład SQL_C_FLOAT).

Aby zdecydować, czy korzystasz z aplikacji, której dotyczy problem, otwórz aplikację, która łączy się z bazą danych. Otwórz okno Wiersz polecenia, wpisz następujące polecenie, a następnie naciśnij klawisz Enter:

tasklist /m sqlsrv32.dll

Jeśli polecenie zwróci zadanie, może to wpłynąć na aplikację.

Aby ograniczyć ten problem, możesz wykonać jedną z następujących czynności:

• Jeśli aplikacja już używa nazwy źródła danych (DSN) lub może używać jej do wybierania połączeń ODBC, zainstaluj sterownik ODBC firmy Microsoft 17 dla SQL Server i wybierz go do użycia z aplikacją przy użyciu nazwy DSN.
  
  Uwaga: Zalecamy najnowszą wersję sterownika ODBC firmy Microsoft 17 dla SQL Server, ponieważ jest on bardziej zgodny z aplikacjami korzystającymi obecnie ze starszego sterownika SQL Server ODBC firmy Microsoft (sqlsrv32.dll) niż sterownik ODBC firmy Microsoft 18 dla SQL Server.

• Jeśli aplikacja nie może korzystać z nazwy DSN, należy ją zmodyfikować, aby zezwolić na używanie nazwy DSN lub używać nowszego sterownika ODBC niż sterownik SQL Server firmy Microsoft ODBC (sqlsrv32.dll).

Ten problem został rozwiązany w aktualizacji KB5022346. Jeśli zostało zaimplementowane powyższe obejście, zaleca się kontynuowanie korzystania z konfiguracji w obejście.

Kanał wersji

Dostępne

Następny krok

Usługa Windows Update i Microsoft Update

Nie

Poniżej przedstawiono inne opcje.

Wykaz usługi Microsoft Update

Tak

Aby uzyskać autonomiczny pakiet tej aktualizacji, przejdź do witryny internetowej Wykaz usługi Microsoft Update.

Program Windows Server Update Services (WSUS)

Tak

Ta aktualizacja zostanie automatycznie zsynchronizowana z programem WSUS w przypadku skonfigurowania produktów i klasyfikacji następująco:

Produkt: Windows 8.1, Windows Server 2012 R2, Windows Embedded 8.1 Industry Enterprise, Windows Embedded 8.1 Industry Pro

Klasyfikacja: Aktualizacja zabezpieczeń