8. marraskuuta 2022 – KB5020003 (vain suojauspäivitys)

Käytetään kohteeseen
Windows Server 2012 Windows Embedded 8 Standard

Yhteenveto

Lue lisätietoja tästä vain suojauspäivityksestä, kuten tietoja parannuksista ja tunnetuista ongelmista sekä päivityksen hankkimisesta.

Huomautus

  • MUISTUTUSWindows Server 2012:n Mainstream-tukijakso on päättynyt, ja se on nyt Extended-tukijakson piirissä. Heinäkuusta 2020 alkaen tälle käyttöjärjestelmälle ei enää ole valinnaisia julkaisuja (eli C- tai D-julkaisuja). Extended-tuen piiriin kuuluvat käyttöjärjestelmät sisältävät vain kumulatiivisia kuukausittaisia suojauspäivityksiä (tunnetaan nimellä "B" tai Update Tuesday -julkaisu).
  • Varmista ennen tämän päivityksen asentamista, että olet asentanut tarvittavat päivitykset, jotka on lueteltu Päivityksen hankkiminen -osiossa.

Huomautus

Huomautus Lisätietoja erityyppisistä Windows-päivityksistä, kuten kriittisistä, suojaus-, ohjain- tai Service Pack -päivityksistä jne., on seuraavassa artikkelissa. Jos haluat tarkastella muita muistiinpanoja ja viestejä, katso Windows Server 2012:n päivityshistorian aloitussivu.

Parannuksia

Tämä vain suojauspäivitys sisältää seuraavat tärkeimmät muutokset:

Lisätietoja ratkaistuista tietoturva-aukoista on Käyttöönotot | Tietoturvapäivitysopas ja marraskuun 2022 tietoturva Päivitykset.

Tunnettuja tämän päivityksen yhteydessä ilmeneviä ongelmia

Oire Seuraava vaihe
Kun tämä päivitys tai uudempi Windows-päivitys on asennettu, toimialueeseen liittymistoiminnot voivat epäonnistua ja näyttöön saattaa tulla virhe "0xaac (2732): NERR_AccountReuseBlockedByPolicy". Lisäksi teksti, jossa sanotaan "Active Directoryssa on samanniminen tili. Suojauskäytäntö esti tilin uudelleenkäyttämisen".
Skenaarioita, joihin tämä vaikuttaa, ovat jotkin toimialueeseen liittymisen tai uudelleenmuodostuksen toiminnot, joissa tietokonetili on luotu tai esilavastettu eri käyttäjätietojen avulla kuin käyttäjätiedot, joita käytettiin tietokoneen liittämiseen tai uudelleen liittämiseen toimialueeseen.
Lisätietoja tästä ongelmasta on artikkelissa KB5020276—Netjoin: toimialueeseen liittymisen kovettumisen muutokset.
Huomautus Ongelmaa ei todennäköisesti esiinny Windowsin kuluttajatyöpöytäversioissa.
Katso KB5020276 ohjeita tähän ongelmaan.
Kun olet asentanut 8. marraskuuta 2022 tai sen jälkeen julkaistut Windows-päivitykset toimialueen ohjauskoneen roolia käyttäviin Windows-palvelimiin, Kerberos-todentamisessa saattaa olla ongelmia. Tämä ongelma voi vaikuttaa mihin tahansa Kerberos-todentamiseen ympäristössäsi. Joitakin skenaarioita, joihin tämä saattaa vaikuttaa:

Kun tämä ongelma ilmenee, saatat saada Microsoft-Windows-Kerberos-Key-Distribution-Center Event ID 4 -virhetapahtuman toimialueen ohjauskoneen tapahtumalokin Järjestelmä-osaan, jossa on alla oleva teksti.

Huomautus Tapahtumat, joihin tämä vaikuttaa, sisältävät " puuttuvan avaimen tunnus on 1" merkkijonon:

Kohdepalvelupalvelua <>koskevan AS-pyyntöä käsiteltäessä tilin <tilillä> ei ollut sopivaa avainta Kerberos-lipun luomiseen (puuttuvan avaimen tunnus on 1). Pyydetyt tyypit : 18 3. Käytettävissä olevat tilityypit: 23 18 17. Tilin nimen> salasanan <muuttaminen tai palauttaminen luo oikean avaimen.
Huomautus Tämä ongelma ei ole odotettu osa Netlogonin ja Kerberosin suojausrajoitusta marraskuun 2022 suojauspäivityksestä alkaen. Sinun on edelleen noudatettava näissä artikkeleissa annettuja ohjeita sittenkin, kun tämä ongelma on ratkaistu.

Tämä ongelma ei koske Windows-laitteita, joita kuluttajat käyttävät kotona, eikä laitteita, jotka eivät kuulu paikalliseen toimialueeseen. Tämä ei vaikuta Azure Active Directory -ympäristöihin, jotka eivät ole yhdistelmäympäristöjä ja joissa ei ole paikallisia Active Directory -palvelimia.
Tämä ongelma on korjattu päivityksessä KB5021652.
Kun olet asentanut tämän päivityksen tai uudemman päivityksen toimialueen ohjauskoneeseen (DC), saatat kohdata muistivuodon paikallisen suojaustoiminnon alijärjestelmäpalvelussa (LSASS,exe). LSASS saattaa jatkuvasti lisätä muistin käyttöä palvelimen käyttöajan mukaan riippuen siitä, kuinka paljon aikaa on kulunut palvelimen edellisestä uudelleenkäynnistyksestä, ja palvelin saattaa lakata vastaamasta tai käynnistyä uudelleen automaattisesti.
Huomautus Tämä ongelma saattaa vaikuttaa 17. marraskuuta 2022 ja 18. marraskuuta 2022 julkaistuihin toimialueen ohjauskoneiden päivityksiin.
Voit lieventää tätä ongelmaa avaamalla komentokehotteen järjestelmänvalvojana ja käyttämällä seuraavaa komentoa rekisteriavaimen KrbtgtFullPacSignature asettamiseksi arvoon 0:
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORDNote Kun tämä tunnettu ongelma on ratkaistu, määritä KrbtgtFullPacSignature-arvoksi suurempi asetus sen mukaan, mitä ympäristösi sallii. Suosittelemme, että otat pakotustilan käyttöön heti, kun ympäristösi on valmis.
Lisätietoja tästä rekisteriavaimesta on KB5020805: Resurssiin CVE-2022-37967 liittyvien Kerberos-protokollamuutosten hallinta.
Teemme töitä ongelman ratkaisemiseksi. Päivitys tulee saataville ohjelmiston tulevassa versiossa.
Tämän päivityksen asentamisen jälkeen sovellukset, jotka käyttävät ODBC-yhteyksiä Microsoft ODBC SQL Server Driverin (sqlsrv32.dll) kautta tietokantojen käyttämiseen, eivät ehkä muodosta yhteyttä. Lisäksi saatat saada virheilmoituksen sovelluksessa tai saatat saada virheen SQL Serveristä. Saatat saada seuraavia virheitä:

  • EMS-järjestelmässä ilmeni ongelma.
    Sanoma: [Microsoft][ODBC SQL Server Driver] Protokollavirhe TDS Streamissa.
  • EMS-järjestelmässä ilmeni ongelma.
    Sanoma: [Microsoft][ODBC SQL Server Driver] Tuntematon tunnus vastaanotettiin SQL Serveristä.
Huomautus kehittäjille: Sovellukset, joihin tämä ongelma vaikuttaa, eivät ehkä pysty noutamaan tietoja, esimerkiksi käytettäessä SQLFetch-funktiota. Tämä ongelma saattaa ilmetä, kun SQLBindCol-funktiota kutsutaan ennen SQLFetch-funktiota tai SQLGetData-funktiota SQLFetchin jälkeen ja kun BufferLength-argumentille annetaan arvo 0 (nolla) kiinteille tietotyypeille, jotka ovat suurempia kuin 4 tavua (kuten SQL_C_FLOAT).

Jos haluat selvittää, käytätkö sovellusta, johon tämä vaikuttaa, avaa sovellus, joka muodostaa yhteyden tietokantaan. Avaa komentokehoteikkuna, kirjoita seuraava komento ja paina sitten Enter-näppäintä:

tehtäväluettelo /m sqlsrv32.dll
Jos komento palauttaa tehtävän, tämä saattaa vaikuttaa sovellukseen.
Voit lieventää tätä ongelmaa jollakin seuraavista tavoista:

  • Jos sovelluksesi käyttää jo tietolähteen nimeä (DSN) tai voi käyttää sitä ODBC-yhteyksien valitsemiseen, asenna Microsoft ODBC Driver 17 for SQL Server ja valitse se käytettäväksi sovelluksessasi DSN:n avulla.

    Huomautus: Suosittelemme Microsoft ODBC Driver 17:n uusinta versiota SQL Server:lle, koska se on yhteensopivampi sovellusten kanssa, jotka käyttävät tällä hetkellä vanhaa Microsoft ODBC SQL Server -ohjainta (sqlsrv32.dll) kuin Microsoft ODBC Driver 18 for SQL Server.
  • Jos sovelluksesi ei pysty käyttämään DSN:ää, sovellusta on muokattava sallimaan DSN tai käyttämään uudempaa ODBC-ohjainta kuin Microsoft ODBC SQL Server Driver (sqlsrv32.dll).
Tämä ongelma ratkaistiin vuonna KB5022343. Jos olet ottanut käyttöön edellä mainitun kiertotavan, on suositeltavaa jatkaa vaihtoehtoisessa menetelmässä kuvatun määrityksen käyttöä.

Tämän päivityksen hankkiminen

Ennen tämän päivityksen asentamista

Microsoft suosittelee, että asennat uusimman ylläpitopinon päivityksen (SSU) käyttöjärjestelmääsi ennen uusinta koontiversiota. SSU:t parantavat päivitysprosessin luotettavuutta ja lieventävät mahdollisia ongelmia koontiversion asentamisen aikana ja Microsoftin suojauskorjauksia käyttöön otettaessa. Yleisiä tietoja SSU:ista on ohjeaiheissa Ylläpitopinon päivitykset ja Ylläpitopinon päivitykset (SSU): usein esitetyt kysymykset.

Jos käytät Windows Update, uusin SSU (KB5016263) tarjotaan sinulle automaattisesti. Voit hankkia erillispaketin uusimmalle SSU:lle hakemalla sitä Microsoft Update -luettelosta.

Huomautus

MUISTUTUS Jos käytät vain suojauspäivityksiä, sinun on asennettava myös kaikki aiemmat vain suojauspäivitykset ja viimeisin kumulatiivinen päivitys Internet Exploreriin (KB5019958).

Kielipaketit

Jos asennat kielipaketin tämän päivityksen asentamisen jälkeen, sinun on asennettava tämä päivitys uudelleen. Siksi suosittelemme, että asennat kaikki tarvitsemasi kielipaketit ennen tämän päivityksen asentamista. Lisätietoja on ohjeaiheessa Kielipakettien lisääminen Windowsiin.

Asenna tämä päivitys

Julkaisukanava Käytettävissä Seuraava vaihe
Windows Update ja Microsoft Update Ei Katso muut vaihtoehdot alla.
Microsoft Update -luettelo Kyllä Voit hankkia tämän päivityksen erillispakettina Microsoft Update -luettelosta.
Windows Server Update Services (WSUS) Kyllä Tämä päivitys synkronoidaan automaattisesti WSUS-palveluiden kanssa, jos määrität Tuotteet ja luokitukset seuraavasti:
Tuote: Windows Server 2012, Windows Embedded 8 Standard
Luokittelu: Tietoturvapäivitys

Tiedostojen tiedot

Saat luettelon tämän päivityksen sisältämistä tiedostoista lataamalla päivityksen KB5020003 tiedostojen tiedot.

Viitteet

Lue tietoja Microsoftin ohjelmistopäivitysten kuvaamiseen käytetystä vakiosanastosta .