Kumulatívna aktualizácia Windows 10 verzií 1511: 9 August 2016

Známe problémy v tejto aktualizácii zabezpečenia

• Známy problém 1
  
  Aktualizácie zabezpečenia, ktoré sú súčasťou MS16-101 a novšie aktualizácie vypnúť možnosť vyjednať procesu patria späť NTLM, keď zlyhá overenie protokolom Kerberos pre operácie zmeniť heslo kód chyby STATUS_NO_LOGON_SERVERS (0xc000005e) . V takomto prípade sa môže zobraziť jedno z nasledujúcich kódov chýb.
  
  

  Šestnástková	Desatinné číslo	Symbolické	Povolené
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Systém zistil možný pokus o ohrozenie zabezpečenia. Uistite sa, že môžete kontaktovať server, ktorý je overený.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Systém zistil možný pokus o ohrozenie zabezpečenia. Uistite sa, že môžete kontaktovať server, ktorý je overený.

  
  
  Alternatívne riešenie
  
  Ak heslo sa zmení, ktoré predtým úspešne po inštalácii MS16-101, je pravdepodobné, že zmeny hesla sa predtým spolupracovala so NTLM záložný pretože Kerberos bolo neúspešné. Na zmenu hesla úspešne pomocou protokolov Kerberos, postupujte nasledovne:
  
  
  

  1. Konfigurácia otvorená komunikácia portu TCP 464 medzi klientov, ktorí majú nainštalovaný MS16-101 a radičom domény, ktoré obsluhuje hesla.
     
     Ak používateľ politika replikácie heslo RODCs radiče domény iba na čítanie (RODCs) služby Samoobslužné hesla. Používatelia, ktorí nie sú povolené RODC heslo politika vyžaduje pripojenie na radič domény čítanie/zápis (RWDC) konto používateľa domény.
     
     Poznámka: Skontrolujte, či je otvorený TCP port 464, postupujte nasledovne:
     
     
     

     1. Vytvoriť rovnocenný zobrazenie filter pre váš analyzátor sledovanie siete. Napríklad:
        

        ipv4.address== <ip address of client> && tcp.port==464

     2. Vo výsledkoch vyhľadajte "TCP: [SynReTransmit" rám.
        
        

  2. Uistite sa, že cieľový Kerberos názvy sú platné. (IP adresy nie sú platné pre protokol Kerberos. Kerberos podporuje krátke názvy a názvy domény.)

  3. Uistite sa, či sú správne zaregistrované hlavných názvov služieb (SPN).
     
     Ďalšie informácie nájdete v časti Kerberos a funkcie samoobslužného hesla.

• Známy problém 2
  
  Vieme o probléme, ktorý programového hesla používateľa domény kontá zlyhá a vráti kód chyby STATUS_DOWNGRADE_DETECTED (0x800704F1) , ak očakávané zlyhania v niektorý z nasledujúcich:
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (zriedka vráti)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  Nasledujúca tabuľka zobrazuje priradenie plný chýb.
  
  

  Šestnástková	Desatinné číslo	Symbolické	Povolené
  0x56	86	ERROR_INVALID_PASSWORD	Zadané sieťové heslo nie je správne.
  0x267	615	ERROR_PWD_TOO_SHORT	Heslo, ktoré je príliš krátke v súlade s politikou používateľského konta. Zadajte dlhšie heslo.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Pri pokuse o aktualizáciu hesla tento návratový stav znamená, že hodnota uvedená ako aktuálne heslo je nesprávne.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Pri pokuse o aktualizáciu hesla tento návratový stav znamená, že bolo porušené niektoré pravidlo pre aktualizáciu. Napríklad heslo nespĺňa dĺžku kritériá.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Systém nemôže kontaktovať radič domény obslúžiť požiadavku. Skúste to znova neskôr.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Systém nemôže kontaktovať radič domény obslúžiť požiadavku. Skúste to znova neskôr.

  
  
  Riešenie
  
  MS16-101 bola znovu vydaná na vyriešenie tohto problému. Nainštalujte najnovšiu verziu aktualizácie pre tento bulletin na vyriešenie tohto problému.
  
  

• Známy problém 3
  
  Vieme o probléme, v ktorom programový obnoví zmeny hesla lokálneho používateľského konta môže zlyhať a vráti kód chyby STATUS_DOWNGRADE_DETECTED (0x800704F1) .
  
  Nasledujúca tabuľka zobrazuje priradenie plný chýb.
  
  

  Šestnástková	Desatinné číslo	Symbolické	Povolené
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Systém nemôže kontaktovať radič domény obslúžiť požiadavku. Skúste to znova neskôr.

  
  
  Riešenie
  
  MS16-101 bola znovu vydaná na vyriešenie tohto problému. Nainštalujte najnovšiu verziu aktualizácie pre tento bulletin na vyriešenie tohto problému.
  
  

• Známy problém 4
  
  Heslá pre účty zakázané a vykonať používateľ nie je možné zmeniť pomocou balíka vyjednať.
  
  
  Heslo sa zmení na zakázané a vykonať bude naďalej pri inými metódami, napríklad keď pomocou LDAP upraviť prevádzku priamo. Napríklad cmdlet prostredia PowerShell Set-ADAccountPassword používa "LDAP upraviť" operácie zmeniť heslo a zostáva nedotknuté.
  
  Alternatívne riešenie
  
  Kontá vyžadujú, aby hesla správcu. Toto správanie je zámerné, po nainštalovaní opravy MS16-101 a neskôr.
  
  

• Známy problém 5
  
  NetUserChangePassword API, ktoré používajú, a domainname parameter, že okolo názov_servera nebude po MS16-101 a novšie aktualizácie sú nainštalované.
  
  Dokumentácia spoločnosti Microsoft uvádza, že poskytovanie názov vzdialeného servera domainname parameter NetUserChangePassword funkcia je podporované. Napríklad funkcia NetUserChangePassword MSDN tému uvádza:
  
  názov_domény [v]
  

  Ukazovateľ neustále reťazec, ktorý určuje názov DNS alebo NetBIOS vzdialeného servera alebo domény funkcia spustiť. Ak tento parameter hodnotu NULL, používa sa Prihlasovacia doména volajúceho.Však tieto pokyny nahradila MS16-101, hesla lokálneho konta lokálneho počítača; Príspevok MS16-101, aby zmeny hesla používateľa domény do práce, musíte prejsť platný názov domény DNS NetUserChangePassword API.

• Známy problém 6
  
  
  
  Po nainštalovaní aktualizácie zabezpečenia a vytlačiť viacero dokumentov za sebou, prvé dva dokumenty úspešne vytlačiť. Však iných a následné dokumenty nemusia vytlačiť.
  
  Ak chcete vyriešiť tento problém, prevezmite aktualizáciu 3186988 z webovej lokality Microsoft Update Catalog .
  
  
  
  
  
  Tento problém rieši aj Microsoft Security Bulletin MS16-106.
  
  
  
  

• Známy problém 7
  
  Po nainštalovaní aktualizácie zabezpečenia, ktoré sú popísané v MS16-101vzdialenej, programové zmeny hesla konta lokálneho používateľa a heslo sa zmení na nedôveryhodnej lesa zlyhá.
  
  
  Táto operácia zlyhá, pretože operácie závisí od NTLM záložných, ktorá nie je podporovaná pre iné než lokálne kontá po nainštalovaní MS16-101.
  
  
  Položka databázy registry je môžete zakázať túto zmenu.
  
  Upozornenie: Toto riešenie môže oslabiť zabezpečenie počítača alebo siete voči útokom zlomyseľných používateľov alebo nebezpečného softvéru, ako sú vírusy. Toto riešenie neodporúčame, ale príslušné informácie poskytujeme preto, aby ste mohli riešenie implementovať podľa vlastného uváženia. Toto riešenie používajte na vlastné riziko.
  
  Dôležité upozornenie: Táto časť, postup alebo úloha obsahuje kroky, ktoré informujú o úpravách databázy Registry. Ak databázu Registry upravíte nesprávne, môžu nastať vážne problémy. Postupujte preto presne podľa týchto krokov. Na dosiahnutie lepšej ochrany zálohujte databázu Registry pred úpravou. Potom môžete obnoviť databázu Registry, ak sa vyskytne problém. Ďalšie informácie o zálohovaní a obnovení databázy Registry získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:

  322756 Zálohovanie a obnovovanie databázy Registry v systéme Windows
  
  Vypnutie zmeny, nastavte položku DWORD NegoAllowNtlmPwdChangeFallback použiť hodnotu 1 (jeden).
  
  
  Dôležité upozornenie: Nastavenie NegoAllowNtlmPwdChangeFallback databázy Registry na hodnotu 1, vypne Táto oprava zabezpečenia:
  

  Hodnota databázy Registry	Popis
  0	Predvolená hodnota. Záložný nemôže.
  1	Záložný vždy povolený. Oprava zabezpečenia je vypnutá. Zákazníkov, ktoré majú problémy s vzdialené lokálne kontá alebo nedôveryhodný lesa scenáre môžete nastaviť túto hodnotu databázy registry.

  Pridajte nasledujúce hodnoty databázy registry, postupujte nasledovne:
  

  1. Kliknite na tlačidlo Štart, kliknite na položku Spustiť, do poľa Otvoriť zadajte reťazec regedit a kliknite na tlačidlo OK.

  2. Vyhľadajte a potom kliknite na nasledujúci podkľúč databázy registry:
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. V ponuke Úpravy ukážte na položku Nové a kliknite na položku Hodnota DWORD.

  4. Typ NegoAllowNtlmPwdChangeFallback názov DWORD a potom stlačte kláves ENTER.

  5. Kliknite pravým tlačidlom myši na NegoAllowNtlmPwdChangeFallbacka kliknite na položku Upraviť.

  6. Do poľa údaj hodnoty zadajte 1 zakázať zmeny a kliknite na tlačidlo OK.
     
     
     Poznámka: Obnoviť predvolenú hodnotu, zadajte hodnotu 0 (nula) a kliknite na tlačidlo OK.

  Stav
  
  Príčinou tohto problému je zrejmé. V tomto článku aktualizuje ďalšie podrobnosti sú k dispozícii.

Postup 1: Windows Update

Táto aktualizácia sa stiahne a nainštaluje automaticky.

Metóda 2: Katalóg služby Microsoft Update

Na získanie samostatného balíka pre túto aktualizáciu navštívte webovú lokalitu Katalógu služby Microsoft Update .

Požiadavky

Neexistujú žiadne požiadavky na inštaláciu tejto aktualizácie.

Informácie o reštartovaní

Po použití tejto aktualizácie je nutné reštartovať počítač.

Informácie o nahradení aktualizácie

Táto aktualizácia nahrádza predchádzajúcu vydanú aktualizáciu 3172985.