Сбои проверки подлинности Kerberos и NTLM из-за повторяющихся идентификаторов БЕЗОПАСНОСТИ

Проблема 

Могут возникать сбои проверки подлинности Kerberos и NTLM на устройствах с повторяющимися идентификаторами безопасности (SID). Эта проблема может возникнуть в Windows 11 версии 24H2, Windows 11, версии 25H2 и Windows Server 2025 после установки обновлений Windows, выпущенных в и после: 

• 29 августа 2025 г. — KB5064081 (сборка ОС 26100.5074) Предварительная версия

• 9 сентября 2025 г. — KB5065426 (сборка ОС 26100.6584)

Эти сбои проверки подлинности могут проявляться различными симптомами, в том числе: 

• Пользователям неоднократно предлагается ввести учетные данные.

• Запросы доступа с допустимыми учетными данными завершаются ошибкой на экране, например:

  • Попытка входа завершилась ошибкой.

  • Сбой входа или ваши учетные данные не сработали.

  • Существует частичное несоответствие в идентификаторе компьютера.

  • Неверное имя пользователя или пароль.

• Доступ к общим сетевым папкам невозможен через IP-адрес или имя узла.

• Невозможно установить подключения к удаленному рабочему столу, включая сеансы протокола удаленного рабочего стола (RDP), инициированные с помощью решений управления привилегированным доступом (PAM) или сторонних средств.

• Сбой отказоустойчивой кластеризации с ошибкой "доступ запрещен".

• Просмотр событий может отображать одну из следующих ошибок в журналах Windows:

  • Журнал безопасности содержит ошибку SEC_E_NO_CREDENTIALS .

  • Системный журнал содержит локальную службу центра безопасности server (lsasrv.dll) идентификатор события: 6167 с текстом сообщения:

    Существует частичное несоответствие в идентификаторе компьютера. Это означает, что билет либо был изменен, либо он принадлежит другому сеансу загрузки.

Причина

Обновления Windows, выпущенные 29 августа 2025 г. и позже, включают дополнительные средства защиты безопасности, которые применяют проверки для идентификаторов БЕЗОПАСНОСТИ, что приводит к сбою проверки подлинности при наличии на устройствах повторяющихся идентификаторов БЕЗОПАСНОСТИ. Это изменение структуры блокирует подтверждение проверки подлинности между такими устройствами. Неудачные запросы проверки подлинности, связанные с этими средствами безопасности, определяются по идентификатору события локальной службы центра безопасности (lsasrv.dll) 6167 в журнале системных событий. 

Повторяющиеся идентификаторы БЕЗОПАСНОСТИ можно создать при выполнении неподдерживаемого клонирования или дублирования установки Windows без запуска Sysprep. Уникальность идентификатора безопасности, включенная Sysprep, необходима для дублирования ОС в Windows 11, версиях 24H2 и 25H2, а также Windows Server 2025 после установки обновлений Windows с 29 августа 2025 г. 

Дополнительные сведения см. в статье Политика Майкрософт для дублирования дисков в установках Windows. 

Решение

Для постоянного разрешения устройства, содержащие повторяющиеся идентификаторы БЕЗОПАСНОСТИ, необходимо перестроить с помощью поддерживаемых методов клонирования или дублирования установки Windows , чтобы у них были уникальные идентификаторы БЕЗОПАСНОСТИ. 

ИТ-администраторы могут временно устранить эту проблему, установив и настроив специальный групповая политика. Чтобы получить эту специальную групповая политика, обратитесь в службу поддержки Майкрософт для бизнеса.