8. listopadu 2022 – KB5020023 (měsíční kumulativní aktualizace)

Příznak

Další krok

Po instalaci této nebo novější aktualizace systému Windows můžou být operace připojení k doméně neúspěšné a dojde k chybě "0xaac (2732): NERR_AccountReuseBlockedByPolicy". Kromě toho text s textem "Účet se stejným názvem existuje ve službě Active Directory. Může se zobrazit opakované použití účtu, který zablokovaly zásady zabezpečení.

Ovlivněné scénáře zahrnují některé operace připojení k doméně nebo operace opětovného vytvoření image, kdy byl účet počítače vytvořen nebo předem připraven jinou identitou, než je identita použitá k připojení počítače k doméně nebo k jeho opětovnému připojení.

Další informace o tomto problému najdete v článku KB5020276 – Netjoin: Změny posílení zabezpečení připojení k doméně.

Poznámka U desktopových edic Systému Windows pravděpodobně k tomuto problému dochází.

Tento problém řeší aktualizace KB5023765.

Po instalaci aktualizací Windows vydaných 8. listopadu 2022 nebo později na serverech s Windows, které používají roli řadič domény, můžete mít problémy s ověřováním protokolem Kerberos. Tento problém může mít vliv na jakékoli ověřování protokolem Kerberos ve vašem prostředí. Některé scénáře, které mohou být ovlivněny:

• Přihlášení uživatele domény může selhat. To může mít vliv také na ověřování Active Directory Federation Services (AD FS) (AD FS).

• Skupinové účty spravované služby (gMSA) používané pro služby, jako je Internetová informační služba (webový server IIS), se nemusí podařit ověřit.

• Připojení ke vzdálené ploše pomocí uživatelů domény se nemusí podařit připojit.

• Možná nebudete mít přístup ke sdíleným složkám na pracovních stanicích a sdíleným složkám na serverech.

• Tisk, který vyžaduje ověření uživatele domény, může selhat.

Pokud dojde k tomuto problému, může se v protokolu událostí na vašem řadiči domény zobrazit událost Microsoft-Windows-Kerberos-Key-Distribution-Center s ID 4 v části Systém protokolu událostí na vašem řadiči domény s následujícím textem.

Poznámka Ovlivněné události budou obsahovat řetězec chybějící klíč má ID 1:

While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key.

Poznámka Tento problém není očekávanou součástí posílení zabezpečení pro Netlogon a Kerberos od aktualizace zabezpečení z listopadu 2022. I po vyřešení tohoto problému budete muset postupovat podle pokynů v těchto článcích.

Na zařízení s Windows, která používají doma spotřebitelé, nebo zařízení, která nejsou součástí místní domény, se tento problém netýká. Na prostředí Azure Active Directory, která nejsou hybridní a nemají žádné místní Active Directory servery, to nemá vliv.

Tento problém řeší aktualizace KB5021653.

Po instalaci této nebo novější aktualizace na řadiči domény (DC) může dojít k nevracení paměti pomocí služby LSASS,exe (Local Security Authority Subsystem Service). V závislosti na zatížení řadiče domény a době od posledního restartování serveru může služba LSASS průběžně zvyšovat využití paměti s dobou spuštění serveru a server může přestat reagovat nebo se automaticky restartovat.

Poznámka Tento problém může mít vliv na vzdálené aktualizace pro řadiče domény vydané 17. listopadu 2022 a 18. listopadu 2022.

Pokud chcete tento problém zmírnit, otevřete příkazový řádek jako správce a pomocí následujícího příkazu nastavte klíč registru KrbtgtFullPacSignature na hodnotu 0:

reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD

Poznámka Po vyřešení tohoto známého problému byste měli nastavit KrbtgtFullPacSignature na vyšší nastavení v závislosti na tom, co vaše prostředí umožní. Doporučujeme, abyste režim vynucení povolili, jakmile bude vaše prostředí připravené.

Další informace o tomto klíči registru najdete v článku KB5020805: Správa změn protokolu Kerberos souvisejících s CVE-2022-37967.

Pracujeme na řešení a v některém z nadcházejících vydání poskytneme aktualizaci.

Po instalaci této aktualizace se aplikace, které používají připojení ODBC prostřednictvím ovladače Microsoft ODBC SQL Server Driver (sqlsrv32.dll) pro přístup k databázím, nemusí připojit. Kromě toho se může v aplikaci zobrazit chyba nebo se může zobrazit chyba z SQL Server. Mezi chyby, které se můžou zobrazit, patří následující zprávy:

• V systému EMS došlo k problému.
  Zpráva: [Microsoft][OVLADAČ ODBC SQL Server] Chyba protokolu ve službě TDS Stream.

• V systému EMS došlo k problému.
  Zpráva: [Microsoft][Ovladač ODBC SQL Server] Neznámý token přijatý z SQL Server.

Poznámka pro vývojáře: Aplikace ovlivněné tímto problémem můžou selhat při načítání dat, například při použití funkce SQLFetch. K tomuto problému může dojít při volání funkce SQLBindCol před sqlFetch nebo volání funkce SQLGetData po SQLFetch a při zadání hodnoty 0 (nula) pro argument BufferLength pro pevné datové typy větší než 4 bajty (například SQL_C_FLOAT).

Pokud se chcete rozhodnout, jestli používáte ovlivněnou aplikaci, otevřete aplikaci, která se připojuje k databázi. Otevřete okno příkazového řádku, zadejte následující příkaz a stiskněte enter:

tasklist /m sqlsrv32.dll

Pokud příkaz vrátí úlohu, může to mít vliv na aplikaci.

Pokud chcete tento problém zmírnit, můžete udělat jednu z těchto věcí:

• Pokud vaše aplikace už k výběru připojení ODBC používá název zdroje dat (DSN), nainstalujte ovladač Microsoft ODBC 17 pro SQL Server a vyberte ho pro použití s aplikací pomocí DSN.
  
  Poznámka: Pro SQL Server doporučujeme nejnovější verzi ovladače Microsoft ODBC Driver 17, protože je kompatibilní s aplikacemi, které aktuálně používají starší verzi ovladače Microsoft ODBC SQL Server (sqlsrv32.dll) než Microsoft ODBC Driver 18 pro SQL Server.

• Pokud vaše aplikace nemůže používat DSN, bude potřeba aplikaci upravit tak, aby umožňovala název DSN, nebo aby používala novější ovladač ODBC, než je ovladač Microsoft ODBC SQL Server Driver (sqlsrv32.dll).

Tento problém byl vyřešen v aktualizaci KB5022352. Pokud jste implementovali výše uvedené alternativní řešení, doporučujeme pokračovat v používání konfigurace v alternativním řešení.

Kanál použitý k vydání

K dispozici

Další krok

Windows Update a Microsoft Update

Ano

Žádný. Tato aktualizace se automaticky stáhne a nainstaluje ze služby Windows Update.

Katalog služby Microsoft Update

Ano

Pokud chcete získat samostatný balíček pro tuto aktualizaci, přejděte na web Katalog služby Microsoft Update.

Služba WSUS (Windows Server Update Services)

Ano

Tato aktualizace se bude automaticky synchronizovat se službou WSUS, pokud nakonfigurujete Produkty a klasifikace takto:

Produkt: Windows 8.1, Windows Server 2012 R2, Windows Embedded 8.1 Industry Enterprise, Windows Embedded 8.1 Industry Pro

Klasifikace: Aktualizace zabezpečení