כשלי אימות Kerberos ו- NTLM עקב מזהי SID כפולים

סימפטומים 

ייתכן שתיתקל בכשלים באימות Kerberos ו- New Technology LAN Manager (NTLM) במכשירים בעלי מזהי אבטחה (SID) כפולים. בעיה זו עלולה להתרחש ב- Windows 11, גירסה 24H2, Windows 11, גירסה 25H2 ו- Windows Server 2025 לאחר התקנת עדכוני Windows שהופצו ב- ולאחר מכן: 

• 29 באוגוסט 2025 - KB5064081 (גירסת Build של מערכת ההפעלה 26100.5074) תצוגה מקדימה

• 9 בספטמבר 2025 - KB5065426 (גירסת Build של מערכת ההפעלה 26100.6584)

כשלי אימות אלה יכולים להתבטא כמגוון תסמינים, כולל: 

• המשתמשים מתבקשים שוב ושוב להזין אישורים.

• בקשות גישה עם אישורים חוקיים נכשלות עם שגיאות על המסך, כגון:

  • ניסיון הכניסה נכשל.

  • הכניסה נכשלה/האישורים שלך לא פועלים.

  • קיימת אי-התאמה חלקית במזהה המחשב.

  • שם המשתמש או הסיסמה שגויים.

• אין אפשרות לגשת לתיקיות רשת משותפות באמצעות כתובת IP או שם מארח.

• אין אפשרות ליצור חיבורי שולחן עבודה מרוחק, כולל הפעלות פרוטוקול שולחן עבודה מרוחק (RDP) שהופעלו באמצעות פתרונות Privileged Access Management (PAM) או כלים של ספקים חיצוניים.

• קיבוץ באשכולות מעבר לגיבוי בעת כשל נכשל עם השגיאה "הגישה נדחתה".

• מציג האירועים להציג אחת מהשגיאות הבאות ביומני הרישום של Windows:

  • יומן האבטחה מכיל את SEC_E_NO_CREDENTIALS השגיאה.

  • יומן המערכת מכיל מזהה אירוע של שירות שרת רשות lsasrv.dll מקומי (lsasrv.dll): 6167 עם טקסט ההודעה:

    קיימת אי-התאמה חלקית במזהה המחשב. דבר זה מציין שהכרטיס השתנה או שהוא שייך להפעלת אתחול אחרת.

גורם

עדכוני Windows שהופצו ב- 29 באוגוסט, 2025 כוללים הגנות אבטחה נוספות שאוכפות את ההבדקות במ מזהי ה- SID, וגורמות לאימות להיכשל כאשר למכשירים יש מזהי SIM כפולים. שינוי עיצוב זה חוסם ל לחיצת יד של אימות בין מכשירים אלה. בקשות אימות שנכשלו הקשורות להגנת אבטחה אלה מזוהות על-ידי מזהה אירוע של שירות שרת lsasrv.dll רשות אבטחה מקומית (lsasrv.dll): 6167 ביומן האירועים של המערכת. 

ניתן ליצור מזהי SIM כפולים בעת ביצוע שכפול או שכפול לא נתמכים של התקנת Windows מבלי להפעיל את Sysprep. ייחודיות SID שהופעלה על-ידי Sysprep נדרשת עבור שכפול מערכת ההפעלה ב- Windows 11, בגירסאות 24H2 ו- 25H2 ו- Windows Server 2025 לאחר התקנת עדכוני Windows ב- 29 באוגוסט 2025 ולאחר מכן. 

לקבלת מידע נוסף, ראה מדיניות Microsoft עבור שכפול דיסק של התקנות Windows. 

פתרון

עבור רזולוציה קבועה, מכשירים המכילים מזהי SID כפולים יצטרכו להיבנה מחדש באמצעות שיטות נתמכות לשכפול או שכפול של התקנת Windows כך שיש להם מזהי SIM ייחודיים. 

מנהלי IT יכולים לטפל בבעיה זו באופן זמני על-ידי התקנה והגדרה של תצורה של מדיניות קבוצתית. כדי להשיג פריט מיוחד מדיניות קבוצתית, צור קשר עם התמיכה של Microsoft לעסקים.