8 Νοεμβρίου 2022—KB5020003 (Αποκλειστικά ενημέρωση ασφαλείας)

Σύμπτωμα

Επόμενο βήμα

Μετά την εγκατάσταση αυτής της ενημέρωσης ή μεταγενέστερης ενημέρωσης των Windows, οι λειτουργίες συμμετοχής σε τομέα ενδέχεται να μην είναι επιτυχείς και εμφανίζεται το σφάλμα "0xaac (2732): NERR_AccountReuseBlockedByPolicy". Επιπλέον, υπάρχει ένα κείμενο που αναφέρει "Υπάρχει ένας λογαριασμός με το ίδιο όνομα στην υπηρεσία καταλόγου Active Directory. Η εκ νέου χρήση του λογαριασμού αποκλείστηκε από την πολιτική ασφαλείας" ενδέχεται να εμφανιστεί.

Στα σενάρια που επηρεάζονται περιλαμβάνονται ορισμένες λειτουργίες σύνδεσης ή εκ νέου απεικόνισης τομέα όπου ένας λογαριασμός υπολογιστή δημιουργήθηκε ή προ-στηρίζεται από μια διαφορετική ταυτότητα από την ταυτότητα που χρησιμοποιείται για τη σύνδεση ή την εκ νέου σύνδεση του υπολογιστή στον τομέα.

Για περισσότερες πληροφορίες σχετικά με αυτό το πρόβλημα, ανατρέξτε στο KB5020276—Netjoin: Αλλαγές θωράνσης συνδέσμου τομέα.

Σημείωση Οι εκδόσεις υπολογιστή καταναλωτή των Windows είναι απίθανο να αντιμετωπίσουν αυτό το πρόβλημα.

Ανατρέξτε στην ενημέρωση KB5020276 για οδηγίες σχετικά με αυτό το πρόβλημα.

Μετά την εγκατάσταση των ενημερώσεων των Windows που κυκλοφόρησαν στις ή μετά τις 8 Νοεμβρίου 2022 σε Διακομιστές Windows που χρησιμοποιούν το ρόλο "Ελεγκτής τομέα", ενδέχεται να αντιμετωπίσετε προβλήματα με τον έλεγχο ταυτότητας Kerberos. Αυτό το πρόβλημα μπορεί να επηρεάσει οποιονδήποτε έλεγχο ταυτότητας Kerberos στο περιβάλλον σας. Ορισμένα σενάρια που ενδέχεται να επηρεαστούν:

• Η είσοδος χρήστη τομέα ενδέχεται να αποτύχει. Αυτό μπορεί επίσης να επηρεάσει τον έλεγχο ταυτότητας Υπηρεσίες Active Directory Federation Services (AD FS).

• Ο έλεγχος ταυτότητας των διαχειριζόμενων λογαριασμών υπηρεσίας ομάδας (gMSA) που χρησιμοποιούνται για υπηρεσίες όπως οι Υπηρεσίες Internet Information Services (IIS Web Server) ενδέχεται να αποτύχει.

• Οι συνδέσεις απομακρυσμένης επιφάνειας εργασίας που χρησιμοποιούν χρήστες τομέα ενδέχεται να μην μπορούν να συνδεθούν.

• Ενδέχεται να μην μπορείτε να αποκτήσετε πρόσβαση σε κοινόχρηστους φακέλους σε σταθμούς εργασίας και κοινόχρηστα αρχεία σε διακομιστές.

• Η εκτύπωση που απαιτεί έλεγχο ταυτότητας χρήστη τομέα ενδέχεται να αποτύχει.

Όταν παρουσιαστεί αυτό το πρόβλημα, ενδέχεται να λάβετε ένα συμβάν σφάλματος αναγνωριστικού συμβάντος 4 Microsoft-Windows-Kerberos-Key-Distribution-Center στην ενότητα "Σύστημα" του αρχείου καταγραφής συμβάντων στον ελεγκτή τομέα σας με το παρακάτω κείμενο.

Σημείωση Τα συμβάντα που επηρεάζονται θα περιέχουν τη συμβολοσειρά "το κλειδί που λείπει έχει αναγνωριστικό 1":

While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key.

Σημείωση Αυτό το πρόβλημα δεν είναι αναμενόμενο μέρος της θωρακισμού ασφαλείας για το Netlogon και το Kerberos από την ενημέρωση ασφαλείας του Νοεμβρίου 2022. Θα πρέπει να ακολουθήσετε τις οδηγίες σε αυτά τα άρθρα ακόμα και μετά την επίλυση αυτού του προβλήματος.

Οι συσκευές Windows που χρησιμοποιούνται στο σπίτι από καταναλωτές ή συσκευές που δεν αποτελούν μέρος ενός τομέα εσωτερικής εγκατάστασης δεν επηρεάζονται από αυτό το πρόβλημα. Τα περιβάλλοντα υπηρεσίας καταλόγου Azure Active Directory που δεν είναι υβριδικά και δεν έχουν Active Directory εσωτερικής εγκατάστασης διακομιστές δεν επηρεάζονται.

Αυτό το πρόβλημα επιλύεται στην ενημέρωση KB5021652.

Μετά την εγκατάσταση αυτής της ενημέρωσης ή μιας νεότερης ενημέρωσης σε έναν ελεγκτή τομέα (DC), ενδέχεται να αντιμετωπίσετε διαρροή μνήμης με την υπηρεσία υποσυστήματος τοπικής αρχής ασφαλείας (LSASS,exe). Ανάλογα με το φόρτο εργασίας του ελεγκτή τομέα (DC) και το χρονικό διάστημα από την τελευταία επανεκκίνηση του διακομιστή, η υπηρεσία LSASS ενδέχεται να αυξάνει συνεχώς τη χρήση της μνήμης με το χρόνο λειτουργίας του διακομιστή και ο διακομιστής ενδέχεται να πάψει να αποκρίνεται ή να επανεκκινείται αυτόματα.

Σημείωση Οι ενημερώσεις εκτός ζώνης για υπολογιστές που κυκλοφόρησαν στις 17 Νοεμβρίου 2022 και στις 18 Νοεμβρίου 2022 ενδέχεται να επηρεαστούν από αυτό το πρόβλημα.

Για να μετριάσετε αυτό το πρόβλημα, ανοίξτε μια γραμμή εντολών ως διαχειριστής και χρησιμοποιήστε την ακόλουθη εντολή για να ορίσετε το κλειδί μητρώου KrbtgtFullPacSignature σε 0:

reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD

Σημείωση Αφού επιλυθεί αυτό το γνωστό πρόβλημα, θα πρέπει να ρυθμίσετε την επιλογή KrbtgtFullPacSignature σε υψηλότερη ρύθμιση, ανάλογα με το τι θα επιτρέψει το περιβάλλον σας. Συνιστάται να ενεργοποιήσετε τη λειτουργία επιβολής μόλις το περιβάλλον σας είναι έτοιμο.

Για περισσότερες πληροφορίες σχετικά με αυτό το κλειδί μητρώου, ανατρέξτε στο KB5020805: Πώς μπορείτε να διαχειριστείτε τις αλλαγές πρωτοκόλλου Kerberos που σχετίζονται με το CVE-2022-37967.

Καταβάλλουμε προσπάθειες για την εξεύρεση μιας λύσης και θα παράσχουμε μια ενημέρωση σε μια προσεχή έκδοση.

Μετά την εγκατάσταση αυτής της ενημέρωσης, οι εφαρμογές που χρησιμοποιούν συνδέσεις ODBC μέσω του προγράμματος οδήγησης SQL Server (sqlsrv32.dll) του Microsoft ODBC για πρόσβαση σε βάσεις δεδομένων ενδέχεται να μην συνδέονται. Επιπλέον, ενδέχεται να λάβετε ένα σφάλμα στην εφαρμογή ή μπορεί να λάβετε ένα σφάλμα από το SQL Server. Στα σφάλματα που ενδέχεται να λάβετε περιλαμβάνονται τα ακόλουθα μηνύματα:

• Το σύστημα EMS αντιμετώπισε ένα πρόβλημα.
  Μήνυμα: [Microsoft][ODBC SQL Server Driver] Σφάλμα πρωτοκόλλου στο TDS Stream.

• Το σύστημα EMS αντιμετώπισε ένα πρόβλημα.
  Μήνυμα: [Microsoft][Πρόγραμμα οδήγησης SQL Server ODBC] Άγνωστο διακριτικό που λαμβάνεται από SQL Server.

Σημείωση για προγραμματιστές: Η λήψη δεδομένων στις εφαρμογές που επηρεάζονται από αυτό το πρόβλημα ενδέχεται να αποτύχει, για παράδειγμα κατά τη χρήση της συνάρτησης SQLFetch. Αυτό το πρόβλημα μπορεί να παρουσιαστεί κατά την κλήση της συνάρτησης SQLBindCol πριν από το SQLFetch ή την κλήση της συνάρτησης SQLGetData μετά το SQLFetch και όταν δίνεται τιμή 0 (μηδέν) για το όρισμα "BufferLength" για σταθερούς τύπους δεδομένων μεγαλύτερους από 4 byte (όπως SQL_C_FLOAT).

Για να αποφασίσετε εάν χρησιμοποιείτε μια εφαρμογή που επηρεάζεται, ανοίξτε την εφαρμογή που συνδέεται με μια βάση δεδομένων. Ανοίξτε ένα παράθυρο γραμμής εντολών, πληκτρολογήστε την ακόλουθη εντολή και, στη συνέχεια, πατήστε το πλήκτρο Enter:

tasklist /m sqlsrv32.dll

Εάν η εντολή επιστρέψει μια εργασία, τότε η εφαρμογή ενδέχεται να επηρεαστεί.

Για να μετριάσετε αυτό το πρόβλημα, μπορείτε να κάνετε ένα από τα εξής:

• Εάν η εφαρμογή σας χρησιμοποιεί ήδη ή μπορεί να χρησιμοποιήσει το Όνομα προέλευσης δεδομένων (DSN) για να επιλέξει συνδέσεις ODBC, εγκαταστήστε το Πρόγραμμα οδήγησης ODBC 17 για SQL Server και επιλέξτε το για χρήση με την εφαρμογή σας χρησιμοποιώντας DSN.
  
  Σημείωση: Συνιστάται η πιο πρόσφατη έκδοση του Προγράμματος οδήγησης ODBC 17 για SQL Server της Microsoft, καθώς είναι πιο συμβατή με εφαρμογές που χρησιμοποιούν επί του παρόντος το παλαιού τύπου πρόγραμμα οδήγησης SQL Server ODBC (sqlsrv32.dll) από το πρόγραμμα οδήγησης ODBC 18 της Microsoft για SQL Server.

• Εάν η εφαρμογή σας δεν μπορεί να χρησιμοποιήσει DSN, η εφαρμογή θα πρέπει να τροποποιηθεί ώστε να επιτρέπεται για DSN ή να χρησιμοποιεί ένα νεότερο πρόγραμμα οδήγησης ODBC από το πρόγραμμα οδήγησης SQL Server του Microsoft ODBC (sqlsrv32.dll).

Αυτό το πρόβλημα επιλύθηκε στην ενημέρωση KB5022343. Εάν έχετε εφαρμόσει την παραπάνω λύση, συνιστάται να συνεχίσετε να χρησιμοποιείτε τις παραμέτρους στη λύση.

Κανάλι κυκλοφορίας

Διατίθεται

Επόμενο βήμα

Windows Update και Microsoft Update

Όχι

Δείτε τις άλλες επιλογές παρακάτω.

Κατάλογος του Microsoft Update

Ναι

Για να λάβετε το μεμονωμένο πακέτο για αυτήν την ενημέρωση, μεταβείτε στην τοποθεσία web Κατάλογος του Microsoft Update.

Υπηρεσίες Windows Server Update Services (WSUS)

Ναι

Αυτή η ενημέρωση θα συγχρονίζεται αυτόματα με τις υπηρεσίες WSUS, αν ρυθμίσετε τις παραμέτρους των Προϊόντων και ταξινομήσεων ως εξής:

Προϊόν: Windows Server 2012, Windows Embedded 8 Standard

Ταξινόμηση: Ενημέρωση ασφαλείας