8 de noviembre de 2022: KB5020003 (actualización solo de seguridad)

Síntoma

Paso siguiente

Después de instalar esta actualización o una actualización de Windows posterior, es posible que las operaciones de unión a dominios no sean satisfactorias y que se produzca el error "0xaac (2732): NERR_AccountReuseBlockedByPolicy". Además, existe texto que indica "Existe una cuenta con el mismo nombre en Active Directory. Es posible que la directiva de seguridad haya bloqueado el uso de la cuenta".

Entre los escenarios afectados se incluyen algunas operaciones de unión a dominio o re-creación de imágenes en las que una cuenta de equipo se creó o preconfiguró con una identidad diferente a la que se usó para unir o volver a unir el equipo al dominio.

Para obtener más información sobre este problema, consulta KB5020276: Netjoin: cambios de protección de la unión a un dominio.

Nota Es poco probable que las ediciones de escritorio para particulares de Windows experimenten este problema.

Consulta KB5020276 para obtener instrucciones sobre este problema.

Después de instalar actualizaciones de Windows publicadas a partir del 8 de noviembre de 2022 en servidores Windows que utilizan el rol de controlador de dominio, es posible que tenga problemas con la autenticación Kerberos. Este problema podría afectar a cualquier autenticación Kerberos en su entorno. Algunos escenarios que pueden verse afectados:

• Es posible que se produzca un error en el inicio de sesión del usuario de dominio. Esto también puede afectar a la autenticación de los Servicios de federación de Active Directory (AD FS) (AD FS).

• Las cuentas de servicio administradas en grupo (gMSA) utilizadas para servicios como Internet Information Services (IIS Web Server) podrían no autenticarse.

• Las conexiones de escritorio remoto que usan usuarios de dominio podrían no conectarse.

• Es posible que no pueda acceder a carpetas compartidas en estaciones de trabajo y recursos compartidos de archivos en servidores.

• Es posible que se produzca un error en la impresión que requiere autenticación de usuario de dominio.

Cuando se encuentra este problema, es posible que reciba un evento de error Microsoft-Windows-Kerberos-Key-Distribution-Center Event ID 4 en la sección Sistema del registro de eventos de su controlador de dominio con el siguiente texto.

Nota Los eventos afectados contendrán la cadena "la clave que falta tiene un id. de 1":

While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key.

Nota Este problema no forma parte del refuerzo de seguridad para Netlogon y Kerberos a partir de la actualización de seguridad de noviembre de 2022. Seguirá teniendo que seguir las instrucciones de estos artículos incluso después de resolver este problema.

Los dispositivos Windows que los consumidores utilizan en casa o los dispositivos que no forman parte de un dominio local no se ven afectados por este problema. Los entornos de Azure Active Directory que no son híbridos y no tienen servidores de Active Directory locales no se ven afectados.

Este problema se corrige en la actualización KB5021652.

Después de instalar esta actualización o una actualización posterior en un controlador de dominio (DC), es posible que experimente una pérdida de memoria con el servicio de subsistema de autoridad de seguridad local (LSASS,exe). Según la carga de trabajo del controlador de dominio y la cantidad de tiempo desde el último reinicio del servidor, LSASS podría aumentar continuamente el uso de memoria con el tiempo de actividad del servidor y el servidor podría dejar de responder o reiniciarse automáticamente.

Nota Las actualizaciones fuera de banda para los equipos de distribución publicadas el 17 de noviembre de 2022 y el 18 de noviembre de 2022 pueden verse afectadas por este problema.

Para mitigar este problema, abra un símbolo del sistema como administrador y use el siguiente comando para establecer la clave del Registro KrbtgtFullPacSignature en 0:

reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD

Nota: Después de resolver este problema conocido, debe establecer KrbtgtFullPacSignature en una configuración más alta, dependiendo de lo que permita su entorno. Le recomendamos que habilite el modo de obligatoriedad tan pronto como el entorno esté listo.

Para obtener más información sobre esta clave del Registro, consulta KB5020805: Cómo administrar los cambios del protocolo Kerberos relacionados con CVE-2022-37967.

Estamos buscando una resolución y proporcionaremos una actualización en una próxima versión.

Después de instalar esta actualización, es posible que las aplicaciones que usan conexiones ODBC a través de Microsoft ODBC SQL Server Driver (sqlsrv32.dll) para acceder a bases de datos no se puedan conectar. Además, es posible que reciba un error en la aplicación o que reciba un error de la SQL Server. Entre los errores que pueden recibirse se incluyen los siguientes mensajes:

• El sistema EMS encontró un problema.
  Mensaje: Error de protocolo [Microsoft][Controlador de SQL Server ODBC] en TDS Stream.

• El sistema EMS encontró un problema.
  Mensaje: [Microsoft][Controlador de SQL Server ODBC] Token desconocido recibido de SQL Server.

Nota para desarrolladores: Es posible que las aplicaciones afectadas por este problema no puedan capturar datos, por ejemplo, al usar la función SQLFetch. Este problema puede ocurrir al llamar a la función SQLBindCol antes de SQLFetch o al llamar a la función SQLGetData después de SQLFetch y cuando se proporciona un valor de 0 (cero) para el argumento 'BufferLength' para tipos de datos fijos mayores que 4 bytes (como SQL_C_FLOAT).

Para decidir si usa una aplicación afectada, abra la aplicación que se conecta a una base de datos. Abre una ventana del símbolo del sistema, escribe el siguiente comando y, a continuación, presiona Entrar:

tasklist /m sqlsrv32.dll

Si el comando devuelve una tarea, es posible que la aplicación se vea afectada.

Para mitigar este problema, puede realizar una de las siguientes acciones:

• Si la aplicación ya usa o puede usar el nombre del origen de datos (DSN) para seleccionar conexiones ODBC, instale Microsoft ODBC Driver 17 para SQL Server y selecciónelo para usarlo con la aplicación mediante DSN.
  
  Nota: Recomendamos la última versión de Microsoft ODBC Driver 17 para SQL Server, ya que es más compatible con las aplicaciones que usan actualmente el controlador ODBC SQL Server (sqlsrv32.dll) heredado de Microsoft que con el controlador ODBC 18 de Microsoft para SQL Server.

• Si la aplicación no puede usar DSN, tendrá que modificarse para permitir DSN o usar un controlador ODBC más reciente que el Controlador ODBC de SQL Server (sqlsrv32.dll) de Microsoft.

Este problema se ha resuelto en KB5022343. Si ha implementado la solución alternativa anterior, se recomienda seguir usando la configuración en la solución alternativa.

Canal de publicación

Disponible

Siguiente paso

Windows Update y Microsoft Update

No

Consulte las demás opciones a continuación.

Catálogo de Microsoft Update

Sí

Para obtener el paquete independiente para esta actualización, ve al sitio web del Catálogo de Microsoft Update.

Windows Server Update Services (WSUS)

Sí

Esta actualización se sincronizará automáticamente con WSUS si configura Productos y clasificaciones de esta forma:

Producto: Windows Server 2012, Windows Embedded 8 Standard

Clasificación: actualización de seguridad