Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU

发布日期:

2022/11/8

版本:

月度汇总

摘要

详细了解此累积安全更新,包括改进、任何已知问题以及如何获取更新。

提醒Windows Server 2008 Service Pack 2 (SP2) 已结束主流支持,现在处于扩展支持中。 从 2020 年 7 月开始,此操作系统将不再有可选的非安全版本 (称为“C”版本) 。 处于扩展支持阶段的操作系统仅有累积月度安全更新(称为“B”或“星期二更新”版本)。

 在安装此更新之前,请验证是否已在如何获取此更新部分中安装所需的更新。 

购买此 OS 本地版本的扩展安全更新 (ESU)的客户必须遵循 KB4522133 中的过程,才能在 2020 年 1 月 14 日结束扩展支持后继续接收安全更新。 有关 ESU 以及支持哪些版本的详细信息,请参阅 KB4497181。 

由于 ESU 在 (2020、2021 和 2022) 的年份中作为单独的 SKU 提供,并且 ESU 只能在特定的 12 个月内购买,因此必须单独购买 ESU 覆盖范围的第三年,并在每台适用设备上激活新密钥,以便设备在 2022 年继续接收安全更新。

如果你的组织未购买第三年的 ESU 覆盖范围,你必须为适用的 Windows Server 2008 SP2 设备购买第 1 年、第 2 年和第 3 年 ESU,然后安装并激活第 3 年 MAK 密钥才能接收更新。 安装、激活和部署 ESU 的步骤与第一年、第二年和第三年保险期相同。 有关详细信息,请参阅获取适用于批量许可流程的合格 Windows 设备的扩展安全汇报和将 Windows 7 ESU 作为云解决方案提供商购买 CSP 流程。 对于嵌入式设备,请联系原始设备制造商 (OEM) 。

有关详细信息,请参阅 ESU 博客

注意 有关各种类型的 Windows 更新(例如关键更新、安全性更新、驱动程序更新、Service Pack 等)的信息,请参阅以下文章。 若要查看 Windows Server 2008 SP2 的其他说明和消息,请参阅以下更新历史记录主页

改进

此累积安全更新包含的改进是 2022 年 10 月 11 日发布的更新 KB5017358 () 的一部分,包括以下项的关键更改:

有关已解决的安全漏洞的详细信息,请参阅部署 |安全更新指南2022 年 11 月安全汇报

此更新中的已知问题

症状

后续步骤

安装此更新并重新启动设备后,你可能会收到错误消息“配置 Windows 更新失败。 正在还原更改。 请勿关闭计算机”,更新可能会在“更新历史记录”中显示为“失败”。

在以下情况下会出现此情况:

  • 如果你在运行不支持 ESU 的版本的设备上安装此更新。 有关支持的版本的完整列表,请参阅 KB4497181

  • 如果你没有安装并激活 ESU MAK 加载项密钥。

如果你已购买 ESU 密钥并遇到此问题,请验证你已应用所有先决条件,且密钥已激活。 有关激活的信息,请参阅此博客文章。 有关先决条件的信息,请参阅本文的"如何获取此更新"部分。

安装此更新或更高版本的 Windows 更新后,域加入操作可能会失败,并出现错误“0xaac (2732) :NERR_AccountReuseBlockedByPolicy”。 此外,Active Directory 中存在同名帐户的文本。 可能会显示“安全策略阻止了重新使用帐户”。

受影响的方案包括一些域加入或重新映像操作,其中计算机帐户是由与用于加入或重新加入计算机到域的标识不同的标识创建的或预先暂存的。

有关此问题的详细信息,请参阅 KB5020276 - Netjoin:域加入强化更改

注意 Windows 的使用者桌面版不太可能遇到此问题。

有关此问题的指导,请参阅 KB5020276

在使用域控制器角色的 Windows Server 上安装 2022 年 11 月 8 日或之后发布的 Windows 更新后,可能会出现 Kerberos 身份验证问题。 此问题可能会影响环境中的任何 Kerberos 身份验证。 一些可能受到影响的方案:

遇到此问题时,你可能会在域控制器上的事件日志的“系统”部分中收到 Microsoft-Windows-Kerberos-Key-Distribution-Center 事件 ID 4 错误事件,其中包含以下文本。

备注 受影响的事件将包含“缺少的密钥的 ID 为 1”字符串:

While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key.

备注 此问题不是从 2022 年 11 月安全更新开始的 Netlogon 和 Kerberos 安全强化的预期部分。 即使此问题得到解决,仍必须遵循这些文章中的指南。

用户在家中使用的 Windows 设备或不属于本地域的设备不受此问题的影响。 非混合且没有本地 Active Directory 服务器的 Azure Active Directory 环境不受影响。

此问题已在更新 KB5021657 中得到解决。

在域控制器上安装此更新或更高版本的更新后, (DC) ,可能会遇到本地安全机构子系统服务 (LSASS,exe) 的内存泄漏。 根据 DC 的工作负荷和自上次重新启动服务器以来的时间量,LSASS 可能会随着服务器的运行时间而不断增加内存使用量,并且服务器可能会无响应或自动重启。

注意 此问题可能会影响 2022 年 11 月 17 日和 2022 年 11 月 18 日发布的 DC 的带外更新。

若要缓解此问题,请以管理员身份打开命令提示符,并使用以下命令将注册表项 KrbtgtFullPacSignature 设置为 0

reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD

备注 解决此已知问题后,应根据环境允许的情况,将 KrbtgtFullPacSignature 设置为更高的设置。 建议在环境准备就绪后立即启用强制模式。

有关此注册表项的详细信息,请参阅 KB5020805:如何管理与 CVE-2022-37967 相关的 Kerberos 协议更改

我们正寻求一种解决方案,并会在即将发布的版本中提供更新。

安装此更新后,通过 Microsoft ODBC SQL Server驱动程序 (sqlsrv32.dll) 使用 ODBC 连接访问数据库的应用可能无法连接。 此外,你可能会在应用中收到错误,或者可能会收到来自SQL Server的错误。 可能收到的错误包括以下消息:

  • EMS 系统遇到问题。消息:TDS Stream 中的 [Microsoft][ODBC SQL Server驱动程序] 协议错误。

  • EMS 系统遇到问题。消息:[Microsoft][ODBC SQL Server驱动程序] 从 SQL Server 接收的令牌未知。

面向开发人员的注意事项: 受此问题影响的应用可能无法提取数据,例如在使用 SQLFetch 函数时。 当在 SQLFetch 之前调用 SQLBindCol 函数 或在 SQLFetch 之后调用 SQLGetData 函数 时,如果为大于 4 个字节的固定数据类型(例如 SQL_C_FLOAT) )的“BufferLength”参数提供了值 0 (零 () ,则可能会出现此问题。

若要确定是否使用受影响的应用,请打开连接到数据库的应用。 打开命令提示符窗口,键入以下命令,然后按 Enter:

tasklist /m sqlsrv32.dll

如果命令返回任务,则应用可能会受到影响。

若要缓解此问题,可以执行下列操作之一:

  • 如果你的应用已在使用或能够使用数据源名称 (DSN)来选择 ODBC 连接,请安装 Microsoft ODBC Driver 17 for SQL Server 并选择它以用于使用 DSN 的应用。注意:我们建议使用最新版本的 Microsoft ODBC Driver 17 for SQL Server,因为它与当前使用旧版 Microsoft ODBC SQL Server Driver (sqlsrv32.dll) 的应用更兼容,而不是 Microsoft ODBC Driver 18 for SQL Server。

  • 如果应用无法使用 DSN,则需要修改应用以允许 DSN 或使用比 Microsoft ODBC SQL Server 驱动程序 (sqlsrv32.dll) 更新的 ODBC 驱动程序。

此问题已在 KB5022340 中解决。 如果已实现上述解决方法,建议继续使用解决方法中的配置。

如何获取此更新

安装此更新前

重要说明 为这些操作系统的本地版本购买了 扩展安全更新 (ESU) 的客户必须按照 KB4522133 中的过程继续接收安全更新,因为扩展支持已于 2020 年 1 月 14 日结束。

有关 ESU 以及支持哪些版本的详细信息,请参阅 KB4497181

语言包

若在安装此更新后安装语言包,则必须重新安装此更新。 因此,我们建议先安装所需的全部语言包,然后再安装此更新。 有关更多信息,请参阅添加语言包至 Windows

先决条件:

在安装最新汇总之前,你必须安装列出的以下更新,并重启设备。 安装这些更新可提高更新过程的可靠性,以便在安装汇总和应用 Microsoft 安全修补程序时缓解潜在的问题。

  1. 2019 年 4 月 9 日服务堆栈更新 (SSU) (KB4493730) 。 若要获取此 SSU 的独立包,请在 Microsoft 更新目录中搜索它。 安装仅 SHA-2 签名的更新时,需要此更新。

  2. 最新的 SHA-2 更新 (KB4474419) 于 2019 年 10 月 8 日发布。 如果你使用的是 Windows 更新,则将自动为你提供最新的 SHA-2 更新。 安装仅 SHA-2 签名的更新时,需要此更新。 有关 SHA-2 更新的详细信息,请参阅 Windows 和 WSUS 的 2019 SHA-2 代码签名支持要求

  3. 扩展安全汇报 (ESU) 许可准备包 (KB4538484) 或扩展安全汇报 (ESU) 许可准备包的更新 (KB4575904) 。 将从 WSUS 为你提供 ESU 许可准备程序包。 若要获取独立的 ESU 许可准备程序包,请在 Microsoft 更新目录中进行搜索。

安装上述项目后,Microsoft 强烈建议你安装最新的 SSU (KB5016129) 。 如果你使用的是 Windows 更新,则将自动为你提供最新的 SSU(如果你是 ESU 客户)。 若要获取最新 SSU 的独立包,请在 Microsoft 更新目录中搜索它。 有关 SSU 的一般信息,请参阅服务堆栈更新和服务堆栈汇报 (SSU) :常见问题

安装此更新

发布频道

可用

下一步

Windows 更新和 Microsoft 更新

无。 如果你是 ESU 客户,此更新会通过 Windows 更新自动下载并安装。

Microsoft 更新目录

若要获取此更新的独立包,请转到 Microsoft 更新目录网站。

Windows Server Update Services (WSUS)

如果你按以下方式配置“产品和分类”,此更新将自动与 WSUS 同步:

产品:Windows Server 2008 Service Pack 2

分类:安全更新

文件信息

有关此更新中提供的文件列表,请下载更新 KB5020019 的文件信息

参考

了解用于描述 Microsoft 软件更新的标准术语

需要更多帮助?

需要更多选项?

了解订阅权益、浏览培训课程、了解如何保护设备等。

社区可帮助你提出和回答问题、提供反馈,并听取经验丰富专家的意见。