2022. november 8. – KB5020009 (havi összesítés)

Hatókör
Windows Server 2012 Windows Embedded 8 Standard

Összegzés

További tudnivalók erről az összesítő biztonsági frissítésről, beleértve a továbbfejlesztéseket, az ismert hibák elhárítását, valamint a frissítés beszerzésének módját.

Megjegyzés

  • EMLÉKEZTETŐWindows Server 2012 alapvető technikai támogatása véget ért, és most kiterjesztett technikai támogatás áll rendelkezésre hozzá. 2020 júliusától kezdve nem adunk ki választható kiadásokat (más néven "C" vagy "D" kiadásokat) ehhez az operációs rendszerhez. A kiterjesztett technikai támogatással rendelkező operációs rendszerekre csak kumulatív havi biztonsági frissítések érkeznek (ez az ún. "B" vagy keddi frissítés).
  • A frissítés telepítése előtt ellenőrizze, hogy telepítette-e A frissítés beszerzése című szakaszban felsorolt szükséges frissítéseket.

Megjegyzés

A különféle Windows-frissítésekkel, beleértve a kritikus, a biztonsági, az illesztőprogramokra és a szervizcsomagokra vonatkozó, illetve egyéb frissítésekkel kapcsolatban a következő cikkben talál információt. Egyéb jegyzetek és üzenetek megtekintéséhez tekintse meg a Windows Server 2012 frissítési előzményeinek kezdőlapját.

Fejlesztések

Ez az összegző biztonsági frissítés a 2022. október 11-én kiadott KB5017370. frissítés részét képező fejlesztéseket tartalmaz, és a következők főbb változásait tartalmazza:

A megszüntetett biztonsági résekről a Telepítések | A biztonsági frissítések útmutatója és a 2022. novemberi biztonsági Frissítések.

Ismert problémák ebben a frissítésben

Tünet Következő lépés
A jelen vagy egy későbbi Windows-frissítés telepítése után a tartományhoz való csatlakozási műveletek sikertelenek lehetnek, és a "0xaac (2732): NERR_AccountReuseBlockedByPolicy" hiba léphet fel. Emellett a következő szöveg: "Az Active Directoryban létezik azonos nevű fiók. Előfordulhat, hogy a fiók újbóli felhasználása biztonsági házirend miatt le lett tiltva" jelenik meg.
Az érintett forgatókönyvek közé tartoznak bizonyos tartományhoz való csatlakozási vagy lemezkép-újratelepítési műveletek, amikor a számítógépfiókot a számítógép tartományhoz való csatlakoztatásához vagy újbóli csatlakoztatásához használt identitástól eltérő identitás hozta létre vagy állította elő.
A problémával kapcsolatos további információkért lásd: KB5020276—Netjoin: A tartományi csatlakozás korlátozásának módosításai.
Megjegyzés A Windows fogyasztói asztali kiadásaiban valószínűleg nem jelentkezik ez a probléma.
A problémával kapcsolatos útmutatásért tekintse meg a KB5020276 .
Miután telepítette a 2022. november 8-án vagy azt követően kiadott Windows-frissítéseket a tartományvezérlő szerepkört használó Windows-kiszolgálókon, problémák merülhetnek fel a Kerberos-hitelesítéssel kapcsolatban. Ez a probléma hatással lehet a Kerberos-hitelesítésekre a környezetben. Néhány forgatókönyv, amelyet érinthet a probléma:

Ha ez a probléma merül fel, előfordulhat, hogy a tartományvezérlő eseménynaplójának Rendszer szakaszában Microsoft-Windows-Kerberos-Key-Distribution-Center eseményazonosítójú 4-es hibaeseményt kap az alábbi szöveggel.

Megjegyzés Az érintett események tartalmazni fogják " a hiányzó kulcs azonosítója 1" karakterláncot:

A célszolgáltatásra <>vonatkozó AS-kérelem feldolgozása közben a fiókfiók <nevének> nem volt megfelelő kulcsa a Kerberos-jegy létrehozásához (a hiányzó kulcs azonosítója 1). A kért típusok : 18 3. A rendelkezésre álló számlák típusai : 23 18 17. A fióknév> jelszavának <módosítása vagy alaphelyzetbe állítása megfelelő kulcsot hoz létre.
Megjegyzés Ez a probléma nem várt része a Netlogon és a Kerberos biztonsági szigorításának a 2022. novemberi biztonsági frissítéssel kezdődően. A probléma megoldása után is követnie kell az ezekben a cikkekben található útmutatást.

Ez a probléma nem érinti a felhasználók otthonaiban használt, illetve a helyszíni tartomány részét nem képező windowsos eszközöket. A nem hibrid és helyi Active Directory-kiszolgálóval nem rendelkező Azure Active Directory-környezetek nem érintettek.
Ezt a problémát a KB5021652. frissítés kezeli.
Miután telepítette ezt vagy egy újabb frissítést egy tartományvezérlőre, memóriavesztést tapasztalhat a helyi biztonsági szervezet szolgáltatásában (LSASS,exe). A tartományvezérlő számítási feladataitól és a kiszolgáló utolsó újraindítása óta eltelt időtől függően az LSASS folyamatosan növelheti a memóriahasználatot a kiszolgáló üzemidejével, és előfordulhat, hogy a kiszolgáló nem válaszol vagy automatikusan újraindul.
Megjegyzés A 2022. november 17-én és 2022. november 18-án kiadott, sávon kívüli frissítéseket érintheti ez a probléma.
A probléma megoldásához nyisson meg egy parancssort rendszergazdaként, és a következő paranccsal állítsa a KrbtgtFullPacSignature beállításkulcsot 0-ra:
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
Megjegyzés Az ismert probléma megoldása után a KrbtgtFullPacSignature értékét magasabb értékre kell állítania attól függően, hogy mit tesz lehetővé a környezet. Azt javasoljuk, hogy engedélyezze a kényszerítési módot, amint a környezet készen áll.
További információ erről a beállításkulcsról: KB5020805: A CVE-2022-37967-hez kapcsolódó Kerberos protokollváltozások kezelése.
Dolgozunk a megoldáson, és egy későbbi kiadásban biztosítunk egy frissítést.
A frissítés telepítése után előfordulhat, hogy azok az alkalmazások, amelyek Microsoft ODBC SQL Server illesztőprogramon (sqlsrv32.dll) keresztül ODBC-kapcsolatokat használnak az adatbázisok eléréséhez, nem csatlakoznak. Emellett előfordulhat, hogy hibaüzenetet kap az alkalmazásban, vagy hibaüzenetet kap a SQL Servertől. A következő hibaüzenetek jelenhetnek meg:

  • Az EMS-rendszer hibát észlelt.
    Üzenet: [Microsoft][ODBC SQL Server Driver] Protokollhiba a TDS Streamben.
  • Az EMS-rendszer hibát észlelt.
    Üzenet: [Microsoft][ODBC SQL Server Illesztőprogram] Ismeretlen token érkezett SQL Servertől.
Megjegyzés fejlesztőknek: A probléma által érintett alkalmazások esetenként nem tudnak adatokat lehívni, például az SQLFetch függvény használatakor. Ez a probléma akkor fordulhat elő, ha az SQLBindCol függvényt hívják meg az SQLFetch előtt, vagy az SQLGetData függvényt az SQLFetch után, és ha a "BufferLength" argumentum értéke 4 bájtnál nagyobb fix adattípusok (például SQL_C_FLOAT) esetén 0 (nulla) van megadva.

Ha el szeretné dönteni, hogy egy érintett alkalmazást használ-e, nyissa meg az adatbázishoz csatlakozó alkalmazást. Nyisson meg egy parancssorablakot, írja be a következő parancsot, majd nyomja le az Enter billentyűt:

tasklist /m sqlsrv32.dll
Ha a parancs egy feladatot ad vissza, akkor az alkalmazás érintett lehet.
A probléma csökkentéséhez az alábbi lehetőségek közül választhat:

  • Ha az alkalmazás már használja vagy használhatja az adatforrás nevét (DSN) az ODBC-kapcsolatok kiválasztásához, telepítse a Microsoft ODBC Driver 17 for SQL Server alkalmazást, és válassza ki a DSN-t használó alkalmazással való használatra.

    Megjegyzés: Javasoljuk a Microsoft ODBC Driver 17 for SQL Server legújabb verziójának használatát, mivel az jobban kompatibilis az örökölt Microsoft ODBC SQL Server illesztőprogramot (sqlsrv32.dll) jelenleg használó alkalmazásokkal, mint a Microsoft ODBC Driver 18 for SQL Server.
  • Ha az alkalmazás nem tudja használni a DSN-t, módosítani kell az alkalmazást, hogy engedélyezhesse a DSN-t, vagy újabb ODBC-illesztőprogramot használjon, mint a Microsoft ODBC SQL Server Driver (sqlsrv32.dll).
Ezt a problémát KB5022348 javítottuk. Ha implementálta a fenti kerülő megoldást, javasoljuk, hogy folytassa a benne szereplő konfigurációt.

A frissítés beszerzése

A frissítés telepítése előtt

Kifejezetten javasoljuk, hogy a legújabb kumulatív frissítés telepítése előtt telepítse a legújabb összegző frissítést (SSU). Az SSU-k javítják a frissítési folyamat megbízhatóságát a frissítés telepítése és a Microsoft biztonsági javításai alkalmazása közben fellépő lehetséges problémák mérséklése érdekében. A SSU-kkal kapcsolatos általános információkért tekintse meg a Szervizelési stack frissítései és a Szervizelési stack frissítései (SSU): Gyakran ismételt kérdések témaköröket.

A Windows Update használata esetén a rendszer automatikusan felajánlja a legújabb SSU (KB5016263) telepítését. A legújabb karbantartásicsomag-frissítés különálló csomagjának megszerzéséhez keressen rá a Microsoft Update katalógusban.

Nyelvi csomagok

Ha a frissítés telepítése után nyelvi csomagot telepít, újra kell telepítenie ezt a frissítést. Ezért javasoljuk, hogy a frissítés telepítése előtt telepítse a szükséges nyelvi csomagokat. További információt a Nyelvi csomagok hozzáadása a Windowshoz című témakörben talál.

A frissítés telepítése

Kiadási csatorna Elérhető Következő lépés
Windows Update és Microsoft Update Igen Nincs Ezt a frissítést a rendszer automatikusan letölti és telepíti a Windows Update-ből.
Microsoft Update katalógus Igen A frissítés önálló csomagjának beszerzéséhez keresse fel a Microsoft Update katalógus webhelyét.
Windows Server Update Services (WSUS) Igen A frissítés automatikusan szinkronizálni fog a WSUS-sel, ha a Termékek és besorolások beállításaként a következőket adja meg:
Termék:Windows Server 2012, Windows Embedded 8 Standard
Besorolás: Biztonsági frissítések

A fájlokkal kapcsolatos adatok

A frissítésben szereplő fájlok listájához töltse le a következő dokumentumot: KB5020009 frissítés fájlokkal kapcsolatos adatai.

Hivatkozások

Ismerje meg a Microsoft szoftverfrissítéseinek leírására használt szabványos terminológiát .