8. novembra 2022 – KB5020019 (mesačná súhrnná aktualizácia)

Vzťahuje sa na
Windows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU

Súhrn

Ďalšie informácie o tejto kumulatívnej aktualizácii zabezpečenia vrátane vylepšení, známych problémov a spôsobe získania aktualizácie.

Poznámka

  • PRIPOMENUTIE Windows Server 2008 Service Pack 2 (SP2) dosiahol ukončenie bežnej podpory a teraz je v rozšírenej podpore. Od júla 2020 už nebudú pre tento operačný systém k dispozícii voliteľné vydania netýkajúce sa zabezpečenia (známe ako vydania "C"). Operačné systémy s rozšírenou podporou majú len kumulatívne mesačné aktualizácie zabezpečenia (známe ako "B" alebo vydanie aktualizácie z utorka).
  • Pred inštaláciou tejto aktualizácie skontrolujte, či ste nainštalovali požadované aktualizácie v časti Ako získať túto aktualizáciu .
  • Zákazníci, ktorí si kúpili program predĺženej doby poskytovania aktualizácií zabezpečenia (ESU) pre lokálne verzie tohto operačného systému, musia dodržiavať postupy v KB4522133 na ďalšie prijímanie aktualizácií zabezpečenia po ukončení rozšírenej podpory 14. januára 2020. Ďalšie informácie o ESU a vydaniach, ktoré sú podporované, nájdete v KB4497181.
  • Keďže ESU je k dispozícii ako samostatná jednotka SKU pre každý rok, v ktorom sú ponúkané (2020, 2021 a 2022), a pretože ESU je možné zakúpiť len v konkrétnych 12-mesačných obdobiach, musíte si tretí rok krytia ESU zakúpiť samostatne a aktivovať nový kľúč na každom príslušnom zariadení pre vaše zariadenia, aby vaše zariadenia naďalej dostávali aktualizácie zabezpečenia v roku 2022.
  • Ak si vaša organizácia nezakúpila tretí rok ESU, musíte si pred inštaláciou a aktiváciou kľúčov MAK pre rok 3 pred získaním aktualizácií zakúpiť ESU pre tretí rok ESU pre príslušné zariadenia Windows Server 2008 SP2. Kroky na inštaláciu, aktiváciu a nasadenie ESU sú rovnaké pre prvý, druhý a tretí rok. Ďalšie informácie nájdete v téme Získanie aktualizácií ESU pre oprávnené zariadenia s Windowsom pre proces multilicencie a Nákup ESU Windowsu 7 ako poskytovateľa cloudového riešenia pre proces CSP. V prípade vložených zariadení sa obráťte na výrobcu OEM.
  • Viac informácií nájdete na blogu ESU.

Poznámka

Poznámka Informácie o jednotlivých typoch aktualizácií Windowsu, ako sú napríklad kritické aktualizácie, aktualizácie zabezpečenia, aktualizácie ovládačov, balíky Service Pack atď., nájdete v nasledujúcom článku. Ak chcete zobraziť ďalšie poznámky a správy týkajúce sa systému Windows Server 2008 SP2, pozrite si nasledujúcu domovskú stránku histórie aktualizácií.

Vylepšenia

Táto kumulatívna aktualizácia zabezpečenia obsahuje vylepšenia, ktoré sú súčasťou aktualizácie KB5017358 (vydanej 11. októbra 2022) a obsahuje kľúčové zmeny pre nasledovné:

Ďalšie informácie o vyriešených nedostatkoch v zabezpečení nájdete v časti Nasadenia | Sprievodca aktualizáciou zabezpečenia a Aktualizácie zabezpečenia z novembra 2022.

Známe problémy v tejto aktualizácii

Príznak Ďalší krok
Po inštalácii tejto aktualizácie a reštartovaní zariadenia sa vám môže zobraziť chybové hlásenie „Zlyhanie konfigurácie aktualizácií systému Windows. Obnovujú sa zmeny. Nevypínajte počítač" a aktualizácia sa v histórii aktualizácií môže zobraziť ako neúspešná. Očakáva sa to v nasledujúcich prípadoch:

  • Ak inštalujete túto aktualizáciu v zariadení s nainštalovaným vydaním, ktoré nie je podporované pre ESU. Úplný zoznam podporovaných vydaní nájdete v téme KB4497181.
  • Ak nemáte doplnkový kľúč ESU MAK nainštalovaný a aktivovaný.
Ak ste si kúpili kľúč ESU a stretli ste sa s týmto problémom, skontrolujte, či ste splnili všetky požiadavky a či je váš kľúč aktivovaný. Informácie o aktivácii nájdete v tomto príspevku na blogu. Informácie o požiadavkách nájdete v časti „Ako získať túto aktualizáciu“ v tomto článku.
Po nainštalovaní tejto aktualizácie alebo novšej aktualizácie Windowsu môžu byť operácie pripojenia k doméne neúspešné a zobrazí sa chyba "0xaac (2732): NERR_AccountReuseBlockedByPolicy". Okrem toho text "Konto s rovnakým názvom existuje v službe Active Directory. Opakované používanie konta bolo zablokované politikou zabezpečenia" sa môže zobraziť.
Ovplyvnené scenáre zahŕňajú niektoré operácie pripojenia k doméne alebo opätovného vytvorenia počítača, kedy bolo konto počítača vytvorené alebo predbežne nastavené identitou inou identitou, než je identita použitá na pripojenie alebo opätovné pripojenie počítača k doméne.
Ďalšie informácie o tomto probléme nájdete v téme KB5020276 – Netjoin: Zmeny sprísnenia pripojenia k doméne.
Poznámka Je nepravdepodobné, že by sa tento problém vyskytol v spotrebiteľských počítačových vydaniach systému Windows.
Pokyny k tomuto problému nájdete v KB5020276 .
Po inštalácii aktualizácií Windowsu vydaných 8. novembra 2022 alebo neskôr na serveroch Windowsu, ktoré používajú rolu radiča domény, môžete mať problémy s overovaním protokolom Kerberos. Tento problém môže mať vplyv na akékoľvek overovanie protokolom Kerberos vo vašom prostredí. Niektoré scenáre, ktoré môžu byť ovplyvnené:

Ak sa vyskytne tento problém, v časti Systém v denníku udalostí na radiči domény sa môže zobraziť udalosť Microsoft-Windows-Kerberos-Key-Distribution-Center s ID udalosti 4 s nasledujúcim textom.

Poznámka Ovplyvnené udalosti budú obsahovať reťazec " chýbajúci kľúč má ID 1":

Pri spracovávaní žiadosti AS o cieľovú službu <>nemal názov> účtu účtu <vhodný kľúč na generovanie žiadosti protokolu Kerberos (chýbajúci kľúč má ID 1). Požadované typy : 18 3. Dostupné účty etype: 23 18 17. Zmenou alebo vytvorením nového hesla <názvu> konta sa vygeneruje správny kľúč.
Poznámka Tento problém nie je očakávanou súčasťou posilnenia zabezpečenia pre Netlogon a Kerberos počnúc aktualizáciou zabezpečenia z novembra 2022. Aj po vyriešení tohto problému budete musieť postupovať podľa pokynov v týchto článkoch.

Tento problém sa netýka zariadení s Windowsom používaných doma spotrebiteľmi alebo zariadení, ktoré nie sú súčasťou lokálnej domény. Prostredia služby Azure Active Directory, ktoré nie sú hybridné a nemajú žiadne lokálna služba Active Directory, nie sú ovplyvnené.
Tento problém je vyriešený v aktualizácii KB5021657.
Po nainštalovaní tejto aktualizácie alebo neskoršej aktualizácie na radiči domény (DC) sa môže vyskytnúť pretekanie pamäte so službou Local Security Authority Subsystem Service (LSASS,exe). V závislosti od vyťaženia radiča domény a času od posledného reštartu servera môže LSASS neustále zvyšovať využitie pamäte s časom prevádzky servera a server môže prestať reagovať alebo sa automaticky reštartovať.
Poznámka Tento problém môže mať vplyv na aktualizácie mimo pásma pre radiče domény vydané 17. novembra 2022 a 18. novembra 2022.
Ak chcete tento problém zmierniť, otvorte príkazový riadok ako správca a pomocou nasledujúceho príkazu nastavte kľúč databázy Registry KrbtgtFullPacSignature na hodnotu 0:
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORDPoznámka Po vyriešení tohto známeho problému by ste mali nastaviť KrbtgtFullPacSignature na vyššie nastavenie v závislosti od toho, čo vaše prostredie povolí. Režim presadzovania pravidiel odporúčame zapnúť hneď, ako bude vaše prostredie pripravené.
Ďalšie informácie o tomto kľúči databázy Registry nájdete v téme KB5020805: Ako spravovať zmeny protokolu Kerberos týkajúce sa CVE-2022-37967.
Pracujeme na riešení a v nadchádzajúcom vydaní poskytneme aktualizáciu.
Po nainštalovaní tejto aktualizácie sa aplikácie, ktoré používajú pripojenia ODBC cez Microsoft ODBC SQL Server Driver (sqlsrv32.dll) na prístup k databázam, nemusia pripojiť. Okrem toho sa môže vyskytnúť chyba v aplikácii alebo sa môže vyskytnúť chyba z SQL Servera. Chyby, ktoré sa môžu u vás vyskytnúť, obsahujú nasledujúce hlásenia:

  • V systéme EMS sa vyskytol problém.
    Hlásenie: [Microsoft][ODBC SQL Server ovládač] – Chyba protokolu v službe TDS Stream.
  • V systéme EMS sa vyskytol problém.
    Správa: [Microsoft][ODBC SQL Server Driver] – Neznámy token prijatý z SQL Servera.
Poznámka pre vývojárov: Aplikácie ovplyvnené týmto problémom môžu zlyhať pri načítavaní údajov, napríklad pri použití funkcie SQLFetch. Tento problém sa môže vyskytnúť pri volaní funkcie SQLBindCol pred príkazom SQLFetch alebo pri volaní funkcie SQLGetData po príkaze SQLFetch a keď je pre argument BufferLength zadaná hodnota 0 (nula) pre pevné typy údajov väčšie ako 4 bajty (napríklad SQL_C_FLOAT).

Ak chcete určiť, či používate ovplyvnenú aplikáciu, otvorte aplikáciu, ktorá sa pripája k databáze. Otvorte okno príkazového riadka, zadajte nasledujúci príkaz a potom stlačte kláves Enter:

zoznam úloh /m sqlsrv32.dll
Ak príkaz vráti úlohu, aplikácia môže byť ovplyvnená.
Ak chcete tento problém obmedziť, vykonajte niektorý z nasledujúcich krokov:

  • Ak vaša aplikácia už používa alebo môže používať názov zdroja údajov (DSN) na výber pripojení ODBC, nainštalujte ovládač Microsoft ODBC 17 pre SQL Server a vyberte ho na použitie s aplikáciou pomocou DSN.

    Poznámka: Odporúčame najnovšiu verziu ovládača Microsoft ODBC 17 pre SQL Server, pretože je kompatibilnejšia s aplikáciami, ktoré v súčasnosti používajú staršiu verziu ovládača Microsoft ODBC SQL Server (sqlsrv32.dll), ako ovládač Microsoft ODBC 18 pre SQL Server.
  • Ak vaša aplikácia nemôže používať DSN, bude potrebné upraviť ju tak, aby umožňovala DSN alebo aby používala novší ovládač ODBC ako Microsoft ODBC SQL Server (sqlsrv32.dll).
Tento problém sa vyriešil v roku KB5022340. Ak ste implementovali vyššie uvedené alternatívne riešenie, odporúčame pokračovať v používaní konfigurácie v alternatívnom riešení.

Ako získať túto aktualizáciu

Pred inštaláciou tejto aktualizácie

DÔLEŽITÉ Zákazníci, ktorí si kúpili program predĺženej doby poskytovania aktualizácií zabezpečenia (ESU) pre lokálne verzie týchto operačných systémov, musia dodržiavať postupy v KB4522133 na ďalšie prijímanie aktualizácií zabezpečenia, pretože rozšírená podpora sa skončila 14. januára 2020.

Ďalšie informácie o ESU a vydaniach, ktoré sú podporované, nájdete v KB4497181.

Jazykové balíky

Ak po nainštalovaní tejto aktualizácie nainštalujete jazykový balík, musíte túto aktualizáciu znova nainštalovať. Preto odporúčame pred inštaláciou tejto aktualizácie nainštalovať všetky jazykové balíky, ktoré potrebujete. Ďalšie informácie nájdete v téme Pridanie jazykových balíkov do systému Windows.

Požiadavky:

Pred inštaláciou najnovšej súhrnnej aktualizácie musíte nainštalovať ďalej uvedené aktualizácie a reštartovať zariadenie. Inštalácia týchto aktualizácií zvyšuje spoľahlivosť procesu aktualizácie a zmierňuje tak potenciálne problémy pri inštalácii súhrnnej aktualizácie a použití opráv zabezpečenia od spoločnosti Microsoft.

  1. Aktualizácia SSU (servicing stack update) z 9. apríla 2019 (KB4493730). Ak chcete získať samostatný balík pre túto aktualizáciu SSU, vyhľadajte ho v Katalógu služby Microsoft Update. Táto aktualizácia je potrebná na inštaláciu aktualizácií, ktoré sú podpísané pomocou SHA-2.
  2. Najnovšia aktualizácia SHA-2 (KB4474419) vydaná 8. októbra 2019. Ak používate službu Windows Update, najnovšia aktualizácia SHA-2 bude ponúknutá automaticky. Táto aktualizácia je potrebná na inštaláciu aktualizácií, ktoré sú podpísané pomocou SHA-2. Ďalšie informácie o aktualizáciách certifikátov SHA-2 nájdete v téme Požiadavky na podporu podpisu kódu 2019 SHA-2 pre Windows a WSUS.
  3. Aktualizácie Balík na prípravu licencovania (KB4538484) alebo aktualizácia balíka na prípravu licencovania (ESU) pre rozšírenú Aktualizácie zabezpečenia (KB4575904). Balík na prípravu licencovania ESU vám ponúkne automaticky WSUS. Ak chcete získať samostatný balík pre balík na prípravu licencovania ESU, vyhľadajte ho v Katalógu služby Microsoft Update.

Spoločnosť Microsoft dôrazne odporúča, aby ste si po inštalácii vyššie uvedených položiek nainštalovali najnovšiu aktualizáciu SSU (KB5016129). Ak používate Windows Update, najnovšia aktualizácia SSU vám bude ponúknutá automaticky v prípade, že ste zákazník ESU. Ak máte záujem o samostatný balík s najnovšou aktualizáciou SSU, vyhľadajte ho v katalógu služby Microsoft Update. Všeobecné informácie o aktualizáciách SSU nájdete v témach Aktualizácie SSUAktualizácie (SSU): najčastejšie otázky.

Inštalovanie tejto aktualizácie

Kanál vydania K dispozícii Ďalší krok
Windows Update a Microsoft Update Áno Žiadne. Táto aktualizácia sa automaticky stiahne a nainštaluje zo služby Windows Update v prípade, že ste zákazník ESU.
Katalóg služby Microsoft Update Áno Ak máte záujem o samostatný balík s touto aktualizáciou, prejdite na webovú lokalitu Katalóg služby Microsoft Update.
Windows Server Update Services (WSUS) Áno Táto aktualizácia sa automaticky synchronizuje so službou WSUS, ak nakonfigurujete Produkty a klasifikácie takto:
Produkt: Windows Server 2008 Service Pack 2
Klasifikácia: Aktualizácie zabezpečenia

Informácie o súboroch

Ak máte záujem o zoznam súborov, ktoré sú súčasťou tejto aktualizácie, stiahnite si informácie o súboroch aktualizácie KB5020019.

Odkazy

Získajte informácie o štandardnej terminológii , ktorá sa používa na popis aktualizácií softvéru spoločnosti Microsoft.