8 نوفمبر 2022 — KB5020009 (مجموعة التحديثات الشهرية)

العَرَض

الخطوة التالية

بعد تثبيت هذا التحديث أو تحديث Windows لاحق، قد تكون عمليات الانضمام إلى المجال غير ناجحة ويحدث الخطأ "0xaac (2732): NERR_AccountReuseBlockedByPolicy". بالإضافة إلى ذلك، نص ينص على "يوجد حساب بنفس الاسم في Active Directory. قد يتم عرض إعادة استخدام الحساب الذي تم حظره بواسطة نهج الأمان".

تتضمن السيناريوهات المتأثرة بعض عمليات الانضمام إلى المجال أو إعادة التصوير حيث تم إنشاء حساب كمبيوتر أو إعداده مسبقا بواسطة هوية مختلفة عن الهوية المستخدمة للانضمام إلى الكمبيوتر أو إعادة ضمه إلى المجال.

لمزيد من المعلومات حول هذه المشكلة، راجع KB5020276 — Netjoin: تغييرات تقوية الانضمام إلى المجال.

‏ملاحظة من غير المحتمل أن تواجه إصدارات سطح مكتب المستهلك من Windows هذه المشكلة.

يرجى مراجعة KB5020276 للحصول على إرشادات حول هذه المشكلة.

بعد تثبيت تحديثات Windows التي تم إصدارها في 8 نوفمبر 2022 أو بعد ذلك على خوادم Windows التي تستخدم دور وحدة تحكم المجال، قد تواجه مشكلات في مصادقة Kerberos. قد تؤثر هذه المشكلة على أي مصادقة Kerberos في بيئتك. بعض السيناريوهات التي قد تتأثر:

• قد يفشل تسجيل دخول مستخدم المجال. قد يؤثر هذا أيضا على مصادقة خدمات الأمان المشترك لـ Active Directory (AD FS).

• قد تفشل حسابات الخدمة المدارة للمجموعة (gMSA) المستخدمة لخدمات مثل خدمات معلومات الإنترنت (IIS Web Server) في المصادقة.

• قد تفشل اتصالات سطح المكتب البعيد باستخدام مستخدمي المجال في الاتصال.

• قد لا تتمكن من الوصول إلى المجلدات المشتركة على محطات العمل ومشاركات الملفات على الخوادم.

• قد تفشل الطباعة التي تتطلب مصادقة مستخدم المجال.

عند مواجهة هذه المشكلة، قد تتلقى حدث خطأ Microsoft-Windows-Kerberos-Key-Distribution-Center Event ID 4 في قسم النظام من سجل الأحداث على وحدة تحكم المجال بالنص أدناه.

‏ملاحظة ستحتوي الأحداث المتأثرة على سلسلة "المفتاح المفقود له معرف 1":

While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key.

‏ملاحظة هذه المشكلة ليست جزءا متوقعا من تصلب الأمان ل Netlogon وKerberos بدءا من تحديث الأمان لشهر نوفمبر 2022. سيظل يتعين عليك اتباع الإرشادات الواردة في هذه المقالات حتى بعد حل هذه المشكلة.

لا تتأثر أجهزة Windows المستخدمة في المنزل من قبل المستهلكين أو الأجهزة التي ليست جزءا من مجال محلي بهذه المشكلة. لا تتأثر بيئات Azure Active Directory غير المختلطة ولا تحتوي على خوادم Active Directory محلي.

تتم معالجة هذه المشكلة في التحديث KB5021652.

بعد تثبيت هذا التحديث أو تحديث لاحق على وحدة تحكم بالمجال (DC)، قد تواجه تسربا في الذاكرة مع خدمة النظام الفرعي لهيئة الأمان المحلية (LSASS، exe). اعتمادا على حمل عمل DC ومقدار الوقت منذ آخر إعادة تشغيل للخادم، قد يزيد LSASS باستمرار من استخدام الذاكرة مع وقت تشغيل الخادم وقد يصبح الخادم غير مستجيب أو إعادة التشغيل تلقائيا.

‏ملاحظة قد تتأثر التحديثات خارج النطاق ل DCs التي تم إصدارها في 17 نوفمبر 2022 و18 نوفمبر 2022 بهذه المشكلة.

للتخفيف من هذه المشكلة، افتح موجه الأوامر كمسؤول واستخدم الأمر التالي لتعيين مفتاح التسجيل KrbtgtFullPacSignature إلى 0:

reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD

ملاحظه بعد حل هذه المشكلة المعروفة، يجب عليك تعيين KrbtgtFullPacSignature إلى إعداد أعلى، اعتمادا على ما ستسمح به بيئتك. نوصي بتمكين وضع الإنفاذ بمجرد أن تصبح بيئتك جاهزة.

لمزيد من المعلومات حول مفتاح التسجيل هذا، يرجى مراجعة KB5020805: كيفية إدارة تغييرات بروتوكول Kerberos المتعلقة ب CVE-2022-37967.

نحن نعمل على إيجاد حل لذلك وسوف نوفر تحديثاً في إصدار قادم.

بعد تثبيت هذا التحديث، قد لا تتصل التطبيقات التي تستخدم اتصالات ODBC من خلال برنامج تشغيل SQL Server Microsoft ODBC (sqlsrv32.dll) للوصول إلى قواعد البيانات. بالإضافة إلى ذلك، قد تتلقى خطأ في التطبيق، أو قد تتلقى خطأ من SQL Server. تتضمن الأخطاء التي قد تتلقاها الرسائل التالية:

• واجه نظام EMS مشكلة.
  الرسالة: [Microsoft][ODBC SQL Server Driver] خطأ البروتوكول في TDS Stream.

• واجه نظام EMS مشكلة.
  الرسالة: [Microsoft][ODBC SQL Server Driver] رمز مميز غير معروف تم تلقيه من SQL Server.

ملاحظة للمطورين: قد تفشل التطبيقات المتأثرة بهذه المشكلة في جلب البيانات، على سبيل المثال عند استخدام وظيفة SQLFetch. قد تحدث هذه المشكلة عند استدعاء دالة SQLBindCol قبل SQLFetch أو استدعاء دالة SQLGetData بعد SQLFetch وعند إعطاء قيمة 0 (صفر) للوسيطة "BufferLength" لأنواع البيانات الثابتة الأكبر من 4 بايت (مثل SQL_C_FLOAT).

لتحديد ما إذا كنت تستخدم تطبيقا متأثرا، افتح التطبيق الذي يتصل بقاعدة بيانات. افتح نافذة موجه الأوامر، واكتب الأمر التالي ثم اضغط على مفتاح الإدخال Enter:

tasklist /m sqlsrv32.dll

إذا أرجع الأمر مهمة، فقد يتأثر التطبيق.

للتخفيف من هذه المشكلة، يمكنك القيام بأحد الإجراءات التالية:

• إذا كان تطبيقك يستخدم بالفعل اسم مصدر البيانات (DSN) أو يمكنه استخدامه لتحديد اتصالات ODBC، فقم بتثبيت برنامج تشغيل Microsoft ODBC 17 SQL Server وحدده للاستخدام مع تطبيقك باستخدام DSN.
  
  ملاحظه: نوصي بأحدث إصدار من برنامج تشغيل Microsoft ODBC 17 SQL Server، لأنه أكثر توافقا مع التطبيقات التي تستخدم حاليا برنامج تشغيل Microsoft ODBC SQL Server القديم (sqlsrv32.dll) من برنامج تشغيل Microsoft ODBC 18 SQL Server.

• إذا كان تطبيقك غير قادر على استخدام DSN، فستحتاج إلى تعديل التطبيق للسماح ب DSN أو لاستخدام برنامج تشغيل ODBC أحدث من برنامج تشغيل Microsoft ODBC SQL Server (sqlsrv32.dll).

تم حل هذه المشكلة في KB5022348. إذا قمت بتنفيذ الحل البديل أعلاه، فمن المستحسن متابعة استخدام التكوين في الحل البديل.

قناة الإصدار

متوفر

الخطوة التالية

Windows Update وMicrosoft Update

نعم

‏‏لا شيء. سيتم تنزيل هذا التحديث وتثبيته تلقائيًا من Windows Update.

كتالوج Microsoft Update

نعم

للحصول على الحزمة المستقلة لهذا التحديث، انتقل إلى موقع ويب كتالوج Microsoft Update.

خادم Windows Server Update Services ‏(WSUS)

نعم

ستتم مزامنة هذا التحديث تلقائيًا مع خادم WSUS إذا قمت بتكوين المنتجات والتصنيفات كالتالي:

المنتج: ‏Windows Server 2012، Windows Embedded 8 Standard

التصنيف: تحديثات أمان