8. novembar 2022. – KB5020005 (samo bezbednosna ispravka)

Windows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Još...Manje

Datum izdavanja::

8.11.2022.

Verzija:

Samo bezbednosna ispravka

Rezime

Saznajte više o ovoj bezbednosnoj ispravki, uključujući poboljšanja, poznate probleme i kako da preuzmete ispravku.

OPOMENEWindows Server 2008 servisni paket 2 (SP2) je dostigao kraj glavne podrške i sada je u proširenoj podršci. Počev od jula 2020, više neće biti opcionalnih, nebezbednosnih izdanja (poznatih kao "C" izdanja) za ovaj operativni sistem. Operativni sistemi u proširenoj podršci imaju samo kumulativne mesečne bezbednosne ispravke (poznate kao "B" ili "Update Tuesday").

Proverite da li ste instalirali potrebne ispravke u odeljku Kako preuzeti ovu ispravku pre instaliranja ove ispravke.

Klijenti koji su kupili proširenu bezbednosnu ispravku (ESU) za lokalne verzije ovog operativnog sistema moraju da prate procedure u KB4522133 da bi nastavili da dobijaju bezbednosne ispravke nakon što je proširena podrška završena 14. januara 2020. Dodatne informacije o ESU i o tome koja izdanja su podržana potražite u članku KB4497181.

Pošto je ESU dostupan kao zaseban SKU za svaku od godina u kojoj su ponuđeni (2020, 2021 i 2022) – i pošto ESU može da se kupi samo u određenim 12-mesečnim periodima – morate da kupite treću godinu pokrivenosti ESU-a zasebno i aktivirate novu šifru na svakom važećem uređaju za uređaje da biste nastavili da primate bezbednosne ispravke 2022. godine.

Ako vaša organizacija nije kupila treću godinu pokrivenosti ESU-a, morate da kupite ESU 1. godinu, 2. godinu i 3. godinu za primenljive Windows Server 2008 SP2 uređaje pre nego što instalirate i aktivirate MAK šifre 3. godine da biste primali ispravke. Koraci za instaliranje, aktiviranje i primenu ESU-a isti su za pokrivenost prve, druge i treće godine. Više informacija potražite u članku Pribavljanje proširene bezbednosne podrške Novosti za Windows uređaje koji ispunjavaju uslove za proces količinskog licenciranja i kupovinu Windows 7 ESU-ova kao dobavljača rešenja u oblaku za CSP proces. Za ugrađene uređaje obratite se proizvođaču originalne opreme (OEM).

Dodatne informacije potražite na ESU blogu.

Beleške Informacije o različitim tipovima Windows ispravki, kao što su kritične, bezbednost, upravljački program, servisni paketi i tako dalje, potražite u sledećem članku. Da biste prikazali ostale beleške i poruke za Windows Server 2008 SP2, pogledajte sledeću matičnu stranicu istorije ažuriranja.

Poboljšanja

Ova bezbednosna ispravka uključuje ključne promene za sledeće:

Novosti 28. oktobra 2022. godine pomerite vreme za zimsko računanje vremena (DST) za Jordan da biste sprečili pomeranje sata unazad za 1 sat 28. oktobra 2022. godine. Pored toga, menja standardno ime za prikaz Jordana iz "(UTC+02:00) Aman" u "(UTC+03:00) Aman".
Rešava problem gde, nakon instaliranja ispravke od 11. januara 2022. ili novije, proces kreiranja poverenja u šume ne popunjava sufikse DNS imena u atribute pouzdanih informacija.
Rešava bezbednosne ranjivosti u Kerberos i Netlogon protokolima kao što je opisano u verzijama CVE-2022-38023, CVE-2022-37966 i CVE-2022-37967. Uputstva za primenu potražite u sledećim člancima:
Više informacija o rešenim bezbednosnim ranjivostima potražite u članku Primene | Vodič za bezbednosne ispravke i bezbednosne Novosti.

Više informacija o rešenim bezbednosnim ranjivostima potražite u članku Primene | Vodič za bezbednosne ispravke i bezbednosne Novosti.

Poznati problemi u ovoj ispravki

Simptom

Sledeći korak

Kada instalirate ovu ispravku i ponovo pokrenete uređaj, možda ćete dobiti grešku "Neuspešno konfigurisanje Ispravki operativnog sistema Windows. Vraćanje promena. Nemojte isključiti računar", a ažuriranje može da se prikaže kao "Nije uspelo" u istoriji ažuriranja.

Ovo se očekuje u sledećim okolnostima:

Ako ovu ispravku instalirate na uređaju koji radi pod izdanjem koje nije podržano za ESU. Kompletnu listu izdanja koja su podržana potražite u članku KB4497181.
Ako nemate instaliranu i aktiviranu šifru programskog dodatka za ESU MAK.

Ako ste kupili ključ ESU i naišli na ovaj problem, proverite da li ste primenili sve preduslove i da li je šifra aktivirana. Informacije o aktivaciji potražite u ovoj objavi na blogu. Informacije o preduslovima potražite u odeljku "Kako dobiti ovu ispravku" u ovom članku.

Nakon instalacije ove ispravke ili novije Windows ispravke, operacije spajanja domena mogu biti neuspešne i dolazi do greške "0xaac (2732): NERR_AccountReuseBlockedByPolicy". Pored toga, u usluzi Active Directory postoji tekst sa navodom "Nalog sa istim imenom. Moguće je da će se prikazati ponovno korišćenje naloga koje su blokirale bezbednosne smernice.

Ugroženi scenariji uključuju neke operacije spajanja domena ili ponovnog imigracije u kojima je nalog računara kreiran ili unapred po fazama od identiteta koji se koristi za pridruživanje računara domenu ili ponovno pridruživanje računara domenu.

Više informacija o ovom problemu potražite u članku KB5020276 – Netjoin: Pridruživanje domenu očvršćih promena.

Beleške Izdanja operativnog sistema Windows za potrošače verovatno neće naići na ovaj problem.

Pogledajte KB5020276 da biste dobili uputstva za ovaj problem.

Nakon instalacije Windows ispravki objavljenih 8. novembra 2022. ili posle 8. novembra 2022. na Windows serverima koji koriste ulogu kontrolera domena, možda ćete imati problema sa Kerberos potvrdom identiteta. Ovaj problem može da utiče na bilo koju Kerberos potvrdu identiteta u okruženju. Neki scenariji na koje to može da utiče:

Prijavljivanje korisnika domena možda neće uspeti. To takođe može da utiče Active Directory usluge za ujedinjavanje (AD FS) potvrdu identiteta.
Nalozi kontrolisane usluge (gMSA) grupe koji se koriste za usluge kao što su Internet Information Services (IIS Web Server) možda neće uspeti da potvrde identitet.
Veze sa udaljenom radnom površinom koje koriste korisnike domena možda neće uspeti da se povežu.
Možda nećete moći da pristupite deljenim fasciklama na radnim lokacijama i u deljenim datotekama na serverima.
Štampanje koje zahteva potvrdu identiteta korisnika domena možda neće uspeti.

Kada se ovaj problem pojavi, možete da dobijete događaj greške Microsoft-Windows-Kerberos-Key-Distribution-Center ID 4 u odeljku Sistem evidencije događaja na kontroleru domena sa dolenavedenim tekstom.

Beleške Ugroženi događaji sadržaće nisku "ključ koji nedostaje ima ID od 1":

While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key.

Beleške Ovaj problem nije očekivani deo bezbednosnog poteškoća za Netlogon i Kerberos, počevši od bezbednosne ispravke iz novembra 2022. I dalje ćete morati da pratite uputstva u ovim člancima čak i kada ovaj problem bude rešen.

Ovaj problem ne utiče na Windows uređaje koje koriste korisnici ili uređaji koji nisu deo lokalnog domena. Azure Active Directory okruženja koja nisu hibridna i koja lokalni Active Directory ne utiču na servere.

Ovaj problem je rešen u ispravki KB5021657.

Nakon instaliranja ove ispravke ili novije ispravke na kontroler domena (DC), može doći do curenja memorije pomoću usluge podsistem lokalnog bezbednosnog autoriteta (LSASS,exe). U zavisnosti od opterećenja vašeg DC-a i vremena od poslednjeg ponovnog pokretanja servera, LSASS može neprestano da povećava iskorišćenost memorije uz vreme ažuriranja servera i server može da postane neodgovoran ili da se automatski ponovo pokrene.

Beleške Ovaj problem može da utiče na nesačuvanje ispravki za DCs objavljene 17. novembra 2022. i 18. novembra 2022. godine.

Da biste ublažili ovaj problem, otvorite komandnu liniju kao administrator i koristite sledeću komandu da biste podesili ključ registratora KrbtgtFullPacSignature na 0:

reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD

Beleške Kada se ovaj poznati problem reši, trebalo bi da podesite krbtgtFullPacSignature na višu postavku, u zavisnosti od toga šta će vaše okruženje dozvoliti. Preporučujemo da omogućite režim sprovođenja čim okruženje bude spremno.

Više informacija o ovom ključu registratora potražite u članku KB5020805: Kako da upravljate promenama Kerberos protokola povezanim sa CVE-2022-37967.

Radimo na rešenju i obezbedićemo ispravku u predstojećem izdanju.

Kada instalirate ovu ispravku, aplikacije koje koriste ODBC veze putem Microsoft ODBC SQL Server upravljačkog programa (sqlsrv32.dll) za pristup bazama podataka možda se neće povezati. Pored toga, možda ćete dobiti grešku u aplikaciji ili ćete možda dobiti grešku od SQL Server. Greške koje možete dobiti uključuju sledeće poruke:

EMS sistem je naišao na problem.
Poruka: [Microsoft][ODBC SQL Server Upravljački program] Greška protokola u TDS Stream.
EMS sistem je naišao na problem.
Poruka: [Microsoft][ODBC SQL Server upravljački program] Nepoznat token primljen od SQL Server.

Napomena za projektante: Aplikacije na koje ovaj problem utiče možda neće uspeti da prenesu podatke, na primer prilikom korišćenja funkcije SQLFetch. Do ovog problema može doći prilikom pozivanja funkcije SQLBindCol pre sqlFetch ili pozivanja funkcije SQLGetData nakon SQLFetch-a i kada je data vrednost 0 (nula) za argument "BaferLength" za fiksne tipove podataka veće od 4 bajta (kao što je SQL_C_FLOAT).

Da biste odlučili da li koristite aplikaciju na koju ovo utiče, otvorite aplikaciju koja se povezuje sa bazom podataka. Otvorite prozor komandne linije, otkucajte sledeću komandu, a zatim pritisnite taster Enter:

tasklist /m sqlsrv32.dll

Ako komanda vraća zadatak, to može da utiče na aplikaciju.

Da biste umanjili ovaj problem, možete da uradite nešto od sledećeg:

Ako aplikacija već koristi ili može da koristi ime izvora podataka (DSN) za izbor ODBC veza, instalirajte Microsoft ODBC upravljački program 17 za SQL Server i izaberite ga za korišćenje sa aplikacijom pomoću DSN-a.

Beleške: Preporučujemo najnoviju verziju Microsoft ODBC upravljačkog programa 17 za SQL Server, pošto je kompatibilnija sa aplikacijama koje trenutno koriste zastareli Microsoft ODBC SQL Server upravljački program (sqlsrv32.dll) od Microsoft ODBC upravljačkog programa 18 za SQL Server.
Ako aplikacija ne može da koristi DSN, aplikacija će morati da se izmeni da bi omogućila DSN ili da bi koristila noviju ODBC upravljački program od Microsoft ODBC SQL Server upravljačkog programa (sqlsrv32.dll).

Ovaj problem je rešen u KB5022353. Ako ste primenili gorenavedeno privremeno rešenje, preporučuje se da nastavite da koristite konfiguraciju u privremenom rešenju.

Kako da preuzmete ovu ispravku

Pre instaliranja ove ispravke

VAЋNO Klijenti koji su kupili proširenu bezbednosnu ispravku (ESU) za lokalne verzije ovog operativnog sistema moraju da prate procedure u KB4522133 da bi nastavili da primaju bezbednosne ispravke zato što je proširena podrška završena 14. januara 2020.

Dodatne informacije o ESU i o tome koja izdanja su podržana potražite u članku KB4497181.

Jezički paketi

Ako instalirate jezički paket kada instalirate ovu ispravku, morate ponovo da instalirate ovu ispravku. Zato preporučujemo da instalirate sve jezičke pakete koji su vam potrebni pre nego što instalirate ovu ispravku. Više informacija potražite u članku Dodavanje jezičkih paketa u Windows.

Preduslov

Morate da instalirate dolenavedene ispravke i ponovo pokrenete uređaj pre nego što instalirate najnoviju zbirnu vrednost. Instaliranje ovih ispravki poboljšava pouzdanost procesa ažuriranja i ublažava potencijalne probleme prilikom instaliranja zbirne i primene Microsoft bezbednosnih ispravki.

Servisna ispravka od 9. aprila 2019. godine (SSU) (KB4493730). Da biste dobili samostalni paket za ovaj SSU, potražite ga u Microsoft Update katalogu. Ova ispravka je potrebna da bi se instalirale ispravke koje su potpisane samo sa SHA-2.
Najnovija ispravka SHA-2 (KB4474419) objavljena je 8. oktobra 2019. Ako koristite Windows Update, najnovija SHA-2 ispravka će vam se automatski ponuditi. Ova ispravka je potrebna da bi se instalirale ispravke koje su potpisane samo sa SHA-2. Više informacija o ISPRAVKAMA ZA SHA-2 potražite u članku Zahtevi podrške za potpisivanje SHA-2 koda za Windows i WSUS za 2019.
Paket za pripremu proširenog bezbednosnog Novosti (ESU) (KB4538484) ili ispravka za paket za pripremu proširenog bezbednosnog Novosti (ESU) licenciranja (KB4575904). Paket za pripremu ESU licenciranja biće vam ponuđen iz usluge WSUS. Da biste dobili samostalni paket za paket za pripremu ESU licenciranja, potražite ga u Microsoft Update katalogu.

Kada instalirate gorenavedene stavke, preporučujemo da instalirate najnoviji SSU (KB5016129). Ako koristite Windows Update, najnoviji SSU će vam automatski biti ponuđen ako ste ESU klijent. Da biste dobili samostalni paket za najnoviji SSU, potražite ga u katalogu Microsoft Update. Opšte informacije o SSU-u potražite u člancima Ažuriranja steka servisiranja i Stek servisiranja Novosti (SSU): Najčešća pitanja.

OPOMENE Ako koristite samo bezbednosne ispravke, moraćete da instalirate i sve prethodne ispravke samo za bezbednost i najnoviju kumulativnu ispravku za Internet Explorer (KB5019958).

Instaliraj ovu ispravku

Kanal izdavanja	Dostupna	Sledeći korak
Windows Update i Microsoft Update	Ne	Pogledajte ostale opcije u nastavku.
Microsoft Update katalog	Da	Da biste dobili samostalni paket za ovu ispravku, idite na veb lokaciju Microsoft Update kataloga.
Windows Server Update Services (WSUS)	Da	Ova ispravka će se automatski sinhronizovati sa WSUS-om ako konfigurišete proizvode i klasifikacije na sledeći način: Proizvod: Windows Server 2008 servisni paket 2 Klasifikacija: bezbednosni Novosti