Symptomer

Udskrivning og scanning mislykkes muligvis, når disse enheder bruger godkendelse med chipkort (PIV). 

Bemærk!: Enheder, der påvirkes ved brug af chipkortgodkendelse (PIV), bør fungere som forventet, når du bruger brugernavn og autentifikation af adgangskode. 

Årsag

Den 13. juli 2021 udgav Microsoft hardeningændringer til CVE-2021-33764. Dette kan medføre dette problem, når du installerer opdateringer, der er udgivet d. 13. juli 2021 eller nyere på en domænecontroller (DC).  De påvirkede enheder er chipkorts godkendende printere, scannere og flerfunktionsenheder, der hverken understøtter Diffie-Hellman (DH) til nøgleudveksling under PKINIT Kerberos-godkendelse eller ikke annoncerer understøttelse af des-ede3-cbc ("tredobbelt DES") under Kerberos AS-anmodningen. I afsnit 3.2.1 af RFC 4556-specifikationerskal klienten understøtte og underrette nøgledistributionscenteret om deres understøttelse af des-ede3-cbc ("tredobbelt DES"). Klienter, der starter Kerberos PKINIT med nøgleudveksling i krypteringstilstand, men som hverken understøtter eller fortæller KDC, at de understøtter des-ede3-cbc ("tredobbelt DES"), afvises. 

Hvis printer- og scannerklientenheder skal være kompatible, skal de enten:

  • Brug Diffie-Hellman til nøgleudveksling under PKINIT Kerberos-godkendelse (foretrukken).

  • Både understøtter og underretter KDC om deres understøttelse af des-ede3-cbc ("tredobbelt DES").

Næste trin

Hvis du støder på dette problem med dine udskrivnings- eller scanningsenheder, skal du kontrollere, at du bruger den nyeste firmware og de nyeste drivere til din enhed. Hvis din firmware og dine drivere er opdaterede, og du stadig støder på dette problem, anbefaler vi, at du kontakter producenten af enheden. Spørg, om en konfigurationsændring er nødvendig for at bringe enheden i overensstemmelse med hardeningændringen for CVE-2021-33764, eller om der vil være en kompatibel opdatering tilgængelig.

Hvis det i øjeblikket ikke er muligt at bringe dine enheder i overensstemmelse med afsnit 3.2.1 i RFC 4556-specifikationer, som kræves til CVE-2021-33764,er en midlertidig afhjælpning nu tilgængelig, mens du arbejder med producenten af udskrivnings- eller scanningsenheden for at bringe dit miljø i overensstemmelse med reglerne på tidslinjen nedenfor.

Vigtigt!: Du skal have dine ikke-kompatible enheder opdateret og kompatibel eller udskiftet med den 8. februar 2022, når den midlertidige afhjælpning ikke kan bruges i sikkerhedsopdateringer.

Tidslinje 

Destinations dato 

Hændelse 

Gælder for 

13. juli 2021 

Opdateringer udgivet med hardening af ændringer til CVE-2021-33764. Alle senere opdateringer har denne har som standard denne hardening ændret sig. 

Windows Server 2019
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2

27. juli 2021 

Opdateringer, der er udgivet med midlertidig afhjælpning for at løse problemer med udskrivning og scanning på enheder, der ikke er kompatible.  Opdateringer, der udgives på denne eller senere, skal installeres på din DC, og afhjælpningen skal slås til via registreringsdatabasenøgle ved at følge nedenstående trin. 

Windows Server 2019
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2  

29. juli 2021 

Opdateringer, der er udgivet med midlertidig afhjælpning for at løse problemer med udskrivning og scanning på enheder, der ikke er kompatible.  Opdateringer, der udgives på denne eller senere, skal installeres på din DC, og afhjælpningen skal slås til via registreringsdatabasenøgle ved at følge nedenstående trin. 

Windows Server 2016

Mid-January 2022 

Valgfri udgivelse af forhåndsvisningsopdatering for at fjerne midlertidig afhjælpning, der kræver udskrivning af klage og scanning af enheder i dit miljø. 

Windows Server 2019

8. februar 2022 

Vigtigt! Sikkerhedsopdateringsudgivelse for at fjerne midlertidig afhjælpning, der kræver klageudskrivning og scanning af enheder i dit miljø. Alle opdateringer, der er udgivet på denne eller senere, vil ikke kunne bruge den midlertidige afhjælpning. Smartcard-godkendelse af printere og scannere skal overholde afsnit 3.2.1 i den RFC 4556-specifikation, der kræves til CVE-2021-33764, når du har installeret disse opdateringer eller nyere på Active Directory-domænecontrollere 

Windows Server 2019
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2

Midlertidig afhjælpning

Følg disse trin på alle dine domænecontrollere for at bruge den midlertidige afhjælpning i dit miljø:

  1. På dine domænecontrollere skal du angive den værdi for midlertidig afhjælpning i registreringsdatabasen, der er angivet nedenfor, til 1 (aktiveret) ved hjælp af registreringseditoren eller de automatiseringsværktøjer, der er tilgængelige i dit miljø.

    Bemærk!: Dette trin kan udføres før eller efter trin 2 og 3. 

  2. Installér en opdatering, der gør det muligt at afhjælpe en midlertidig afhjælpning i de opdateringer, der er udgivet d. 27. juli 2021 eller nyere (nedenfor er de første opdateringer, der skal sikre den midlertidige afhjælpning):

  3. Genstart domænecontrolleren.

Registreringsdatabaseværdi til midlertidig afhjælpning

Advarsel!: Der kan forekomme alvorlige problemer, hvis du ved hjælp af Registreringseditor eller anden metode ved hjælp af en anden metode redigerer registreringsdatabasen forkert. Disse problemer kan kræve, at du geninstallerer operativsystemet. Microsoft kan ikke garantere, at disse problemer kan løses. Ændringer af registreringsdatabasen er på eget ansvar. 

Undernøgle i registreringsdatabasen

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc 

Værdi 

Allow3DesFallback 

Datatype 

DWORD 

Data 

1 – Aktivér midlertidig afhjælpning. 

0 – Aktivér standardfunktionsmåden, der kræver, at dine enheder overholder afsnit 3.2.1 i RFC 4556-specifikationer. 

Er genstart påkrævet? 

Nej 

Registreringsdatabasenøglen ovenfor kan oprettes og værdien og datasættet ved hjælp af følgende kommando:  

  • reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f

Flere oplysninger

Microsoft har bekræftet, at dette er et problem i de Microsoft-produkter, der er angivet i afsnittet "Gælder for".

Har du brug for mere hjælp?

Udvid dine færdigheder
Gå på opdagelse i kurser
Få nye funktioner først
Deltag i Microsoft insiders

Var disse oplysninger nyttige?

Hvor tilfreds er du med kvaliteten af oversættelsen?

Hvad påvirkede din oplevelse?

Har du mere feedback? (Valgfrit)

Tak for din feedback!

×