8 ноября 2022 г. — KB5020003 (обновление только для системы безопасности)

Проблема

Следующий шаг

После установки этого или более позднего обновления Windows операции присоединения к домену могут завершиться неудачей и возникнет ошибка "0xaac (2732): NERR_AccountReuseBlockedByPolicy". Кроме того, текст : "Учетная запись с таким же именем существует в Active Directory. Может отображаться повторное использование учетной записи, заблокированной политикой безопасности.

Затронутые сценарии включают некоторые операции присоединения к домену или повторного создания образа, когда учетная запись компьютера была создана или предварительно подготовлена удостоверением, отличным от удостоверения, используемого для присоединения компьютера к домену или повторного присоединения к нему.

Дополнительные сведения об этой проблеме см. в статье KB5020276 — Netjoin: изменения защиты присоединения к домену.

Примечание В выпусках Windows consumer Desktop эта проблема вряд ли будет возникать.

Инструкции по этой проблеме см. в статье KB5020276 .

После установки обновлений Windows, выпущенных 8 ноября 2022 г. или позже на серверах Windows, использующих роль контроллера домена, могут возникнуть проблемы с проверкой подлинности Kerberos. Эта проблема может повлиять на любую проверку подлинности Kerberos в вашей среде. Некоторые сценарии, которые могут быть затронуты:

• Вход пользователя домена может завершиться ошибкой. Это также может повлиять на проверку подлинности службы федерации Active Directory (AD FS) (AD FS).

• Групповые управляемые учетные записи служб (gMSA), используемые для таких служб, как службы IIS (веб-сервер IIS), могут не пройти проверку подлинности.

• Подключения к удаленному рабочему столу с помощью пользователей домена могут не подключиться.

• Возможно, вы не сможете получить доступ к общим папкам на рабочих станциях и общим папкам на серверах.

• Печать, требующая проверки подлинности пользователя домена, может завершиться ошибкой.

При возникновении этой проблемы вы можете получить событие ошибки Microsoft-Windows-Kerberos-Key-Distribution-Center с идентификатором 4 в разделе Система журнала событий на контроллере домена с приведенным ниже текстом.

Примечание Затронутые события будут содержать строку "отсутствующий ключ имеет идентификатор 1":

While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key.

Примечание Эта проблема не является ожидаемой частью усиления безопасности для Netlogon и Kerberos, начиная с обновления системы безопасности за ноябрь 2022 г. Вам по-прежнему придется следовать рекомендациям, приведенным в этих статьях, даже после устранения этой проблемы.

Эта проблема не затрагивает устройства Windows, используемые дома потребителями или устройствами, не входящими в локальный домен. Среды Azure Active Directory, которые не являются гибридными и не имеют локальная служба Active Directory серверов, не затрагиваются.

Эта проблема устранена в обновлении KB5021652.

После установки этого или более позднего обновления на контроллере домена может возникнуть утечка памяти в службе подсистемы локального центра безопасности (LSASS,exe). В зависимости от рабочей нагрузки контроллера домена и времени, прошедшего с момента последней перезагрузки сервера, LSASS может постоянно увеличивать использование памяти с временем работы сервера, а сервер может перестать отвечать на запросы или автоматически перезапускаться.

Примечание Эта проблема может повлиять на обновления для контроллеров домена, выпущенные 17 ноября 2022 г. и 18 ноября 2022 г.

Чтобы устранить эту проблему, откройте командную строку от имени администратора и используйте следующую команду, чтобы задать для раздела реестра KrbtgtFullPacSignatureзначение 0:

reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD

Примечание После устранения этой известной проблемы следует задать для KrbtgtFullPacSignature более высокий параметр в зависимости от того, что позволит ваша среда. Рекомендуется включить режим принудительного применения, как только среда будет готова.

Дополнительные сведения об этом разделе реестра см. в статье KB5020805: Управление изменениями протокола Kerberos, связанными с CVE-2022-37967.

Мы работаем над решением этой проблемы и предоставим обновление в ближайшем выпуске.

После установки этого обновления приложения, использующие подключения ODBC через Microsoft ODBC SQL Server Driver (sqlsrv32.dll), могут не подключаться к базам данных. Кроме того, в приложении может появиться сообщение об ошибке или сообщение об ошибке от SQL Server. Вы можете получить следующие сообщения об ошибках:

• В системе EMS возникла проблема.
  Сообщение: [Microsoft][ODBC SQL Server Driver] Ошибка протокола в TDS Stream.

• В системе EMS возникла проблема.
  Сообщение: [Microsoft][ODBC SQL Server Driver] Неизвестный маркер, полученный от SQL Server.

Примечание для разработчиков: Приложения, затронутые этой проблемой, могут не получить данные, например при использовании функции SQLFetch. Эта проблема может возникнуть при вызове функции SQLBindCol перед SQLFetch или вызове функции SQLGetData после SQLFetch и при присвоении значения 0 (ноль) для аргумента BufferLength для фиксированных типов данных размером более 4 байт (например, SQL_C_FLOAT).

Чтобы решить, используете ли вы затронутое приложение, откройте приложение, которое подключается к базе данных. Откройте окно командной строки, введите следующую команду и нажмите клавишу ВВОД:

tasklist /m sqlsrv32.dll

Если команда возвращает задачу, это может повлиять на приложение.

Чтобы устранить эту проблему, можно выполнить одно из следующих действий:

• Если ваше приложение уже использует или может использовать имя источника данных (DSN) для выбора подключений ODBC, установите Microsoft ODBC Driver 17 для SQL Server и выберите его для использования с приложением с помощью DSN.
  
  Примечание: Мы рекомендуем использовать последнюю версию Microsoft ODBC Driver 17 для SQL Server, так как она более совместима с приложениями, использующими устаревшую версию Microsoft ODBC SQL Server Driver (sqlsrv32.dll), чем Microsoft ODBC Driver 18 для SQL Server.

• Если вашему приложению не удается использовать DSN, потребуется изменить приложение, чтобы разрешить использование DSN или использовать более новый драйвер ODBC, чем Microsoft ODBC SQL Server Driver (sqlsrv32.dll).

Эта проблема устранена в обновлении KB5022343. Если вы реализовали описанный выше обходной путь, рекомендуется продолжить использование конфигурации в обходном пути.

Канал выпуска

Доступна

Следующий шаг

Центр обновления Windows и Центр обновления Майкрософт

Нет

См. другие варианты ниже.

Каталог Центра обновления Майкрософт

Да

Чтобы получить автономный пакет для этого обновления, перейдите на веб-сайт каталога Центра обновления Майкрософт.

Службы Windows Server Update Services (WSUS)

Да

Это обновление будет автоматически синхронизироваться с WSUS, если вы настроите продукты и классификации следующим образом:

Продукт: Windows Server 2012, Windows Embedded 8 Standard

Классификация: обновление для системы безопасности