8. marraskuuta 2022 – KB5020010 (vain suojauspäivitys)

Oire

Seuraava vaihe

Kun tämä päivitys tai uudempi Windows-päivitys on asennettu, toimialueeseen liittymistoiminnot saattavat epäonnistua ja tapahtuu virhe "0xaac (2732): NERR_AccountReuseBlockedByPolicy". Lisäksi Active Directoryssa on teksti, jossa lukee "Samanniminen tili. Suojauskäytäntö on saattanut estää tilin uudelleenkäytön" saattaa tulla näkyviin.

Tällaisia tilanteita ovat esimerkiksi jotkin toimialueeseen liittymis- tai uudelleenkuvaustoiminnot, joissa tietokonetili on luotu tai esivaiheistettu eri käyttäjätiedoilla kuin käyttäjätiedoilla, joita käytetään tietokoneen liittämiseen toimialueeseen tai uudelleen liittämiseen toimialueeseen.

Lisätietoja tästä ongelmasta on artikkelissa KB5020276 – Netjoin: Toimialueeseen liittymisen kovennusmuutokset.

Huomautus Tämä ongelma ei todennäköisesti ilmene Windowsin kuluttajatyöpöytäversioissa.

Tämä ongelma on korjattu versiossa KB5023764.

Kun olet asentanut Windows-päivitykset, jotka on julkaistu 8. marraskuuta 2022 tai sen jälkeen Toimialueen ohjauskoneen roolia käyttävissä Windows-palvelimissa, kerberos-todennuksessa voi olla ongelmia. Tämä ongelma voi vaikuttaa mihin tahansa Kerberos-todennukseen ympäristössäsi. Jotkin skenaariot, joihin tämä saattaa vaikuttaa:

• Toimialueen käyttäjän kirjautuminen voi epäonnistua. Tämä voi vaikuttaa myös Active Directory -liittoutumispalvelut (AD FS) -todennukseen.

• Ryhmähallitut palvelutilit (gMSA), joita käytetään esimerkiksi Internet Information Services (IIS Web Server) -palveluissa, eivät ehkä todennusta onnistu.

• Etätyöpöytäyhteyksien muodostaminen toimialueen käyttäjien avulla ei ehkä onnistu.

• Et ehkä voi käyttää jaettuja kansioita työasemilla ja jaettuja tiedostoja palvelimissa.

• Toimialueen käyttäjän todennusta edellyttävä tulostus voi epäonnistua.

Kun tämä ongelma ilmenee, saatat saada Microsoft-Windows-Kerberos-Key-Distribution-Center Event ID 4 -virhetapahtuman toimialueen ohjauskoneen tapahtumalokin Järjestelmä-osaan alla olevan tekstin kanssa.

Huomautus Tapahtumat, joita ongelma koskee, sisältävät merkkijonon "puuttuvan avaimen tunnus on 1":

While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key.

Huomautus Tämä ongelma ei ole odotettu osa Netlogonin ja Kerberosin tietoturvan kovennusta marraskuun 2022 suojauspäivityksestä alkaen. Sinun on edelleen noudatettava näiden artikkelien ohjeita, vaikka tämä ongelma on ratkaistu.

Tämä ongelma ei vaikuta kuluttajien kotona käyttämiin Windows-laitteisiin tai laitteisiin, jotka eivät kuulu paikalliseen toimialueeseen. Tämä ei vaikuta Azure Active Directory -ympäristöihin, jotka eivät ole yhdistelmäympäristöjä ja joilla ei ole paikallinen Active Directory palvelimia.

Tämä ongelma on korjattu päivityksessä KB5021653.

Kun olet asentanut tämän päivityksen tai uudemman päivityksen toimialueen ohjauskoneeseen (DC), saatat kohdata muistivuodon Paikallisen suojauksen myöntäjän alijärjestelmäpalvelussa (LSASS,exe). LSASS saattaa jatkuvasti lisätä muistin käyttöä palvelimen ollessa käytössä, ja palvelin saattaa lakata vastaamasta tai käynnistyä uudelleen automaattisesti sen mukaan, kuinka paljon aikaa on kulunut palvelimen edellisestä uudelleenkäynnistyksestä.

Huomautus Tämä ongelma saattaa vaikuttaa 17.11.2022 ja 18.11.2022 julkaistuihin DCs-tietokoneiden päivitysten päivityksiin.

Voit lieventää tätä ongelmaa avaamalla komentokehotteen järjestelmänvalvojana ja määrittämällä rekisteriavaimen KrbtgtFullPacSignature arvoksi 0 seuraavan komennon avulla:

reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD

Huomautus Kun tämä tunnettu ongelma on ratkaistu, määritä KrbtgtFullPacSignature suuremmaksi asetukseksi sen mukaan, mitä ympäristösi sallii. Suosittelemme, että otat pakotustilan käyttöön heti, kun ympäristösi on valmis.

Lisätietoja tästä rekisteriavaimesta on artikkelissa KB5020805: CVE-2022-37967 -protokollaan liittyvien Kerberos-protokollamuutosten hallinta.

Kehitämme parhaillaan ratkaisua ja tarjoamme päivityksen tulevassa versiossa.

Tämän päivityksen asentamisen jälkeen sovellukset, jotka käyttävät ODBC-yhteyksiä Microsoft ODBC SQL Server Driverin (sqlsrv32.dll) kautta tietokantojen käyttämiseen, eivät ehkä muodosta yhteyttä. Lisäksi sovelluksessa voi ilmetä virhe tai SQL Server saattaa tulla virhesanoma. Näyttöön voi tulla seuraavia viestejä:

• EMS-järjestelmässä ilmeni ongelma.
  Viesti: [Microsoft][ODBC SQL Server Driver] Protocol error in TDS Stream.

• EMS-järjestelmässä ilmeni ongelma.
  Viesti: [Microsoft][ODBC SQL Server Driver] Tuntematon tunnus vastaanotettu SQL Server.

Huomautus kehittäjille: Sovellukset, joihin tämä ongelma vaikuttaa, eivät ehkä voi noutaa tietoja, esimerkiksi käytettäessä SQLFetch-funktiota. Tämä ongelma saattaa ilmetä kutsuttaessa SQLBindCol-funktiota SQLFetch-funktion eteen tai kutsuttaessa SQLGetData-funktiota SQLFetchin jälkeen ja kun bufferLength-argumentille annetaan arvo 0 (nolla) kiinteille tietotyypeille, jotka ovat suurempia kuin 4 tavua (esimerkiksi SQL_C_FLOAT).

Jos haluat päättää, käytätkö sovellusta, jota ongelma koskee, avaa sovellus, joka muodostaa yhteyden tietokantaan. Avaa komentokehoteikkuna, kirjoita seuraava komento ja paina sitten Enter-näppäintä:

tasklist /m sqlsrv32.dll

Jos komento palauttaa tehtävän, tämä saattaa vaikuttaa sovellukseen.

Voit lieventää tätä ongelmaa jommankumman seuraavista tavoista:

• Jos sovellus on jo käytössä tai voi käyttää tietolähteen nimeä (DSN) ODBC-yhteyksien valitsemiseen, asenna Microsoft ODBC Driver 17 for SQL Server ja valitse se käytettäväksi sovelluksessasi DSN:n avulla.
  
  Huomautus: Microsoft suosittelee microsoft ODBC Driver 17:n uusinta versiota SQL Server: se on yhteensopivampi vanhojen Microsoft ODBC SQL Server -ohjainta (sqlsrv32.dll) käyttävien sovellusten kanssa kuin Microsoft ODBC Driver 18 for SQL Server.

• Jos sovellus ei voi käyttää DSN:iä, sovellusta on muokattava niin, että se sallii DSN:n tai käyttää uudempaa ODBC-ohjainta kuin Microsoft ODBC SQL Server Driver (sqlsrv32.dll).

Tämä ongelma on korjattu versiossa KB5022346. Jos olet ottanut käyttöön edellä mainitun vaihtoehtoisen menetelmän, on suositeltavaa jatkaa määritysten käyttämistä vaihtoehtoisessa menetelmässä.

Julkaisukanava

Käytettävissä

Seuraava vaihe

Windows Update ja Microsoft Update

Ei

Katso muut vaihtoehdot alla.

Microsoft Update -luettelo

Kyllä

Voit hankkia tämän päivityksen erillispaketin Microsoft Update -luettelon sivustosta.

Windows Server Update Services (WSUS)

Kyllä

Tämä päivitys synkronoidaan automaattisesti WSUS-palveluiden kanssa, jos määrität Tuotteet ja luokittelut seuraavasti:

Tuote: Windows 8.1, Windows Server 2012 R2, Windows Embedded 8.1 Industry Enterprise, Windows Embedded 8.1 Industry Pro

Luokittelu: Tietoturvapäivitys