Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU

Utgivningsdatum:

2022-11-08

Version:

Endast säkerhetsuppdatering

Sammanfattning

Läs mer om den här säkerhetsrelaterade uppdateringen, inklusive förbättringar, samt om kända fel och om hur uppdateringen hämtas.

PÅMINNELSEWindows Server 2008 Service Pack 2 (SP2) har upphört med mainstream-supporten och omfattas nu av extended-support. Från och med juli 2020 kommer det inte längre att finnas valfria icke-säkerhetsrelaterade versioner (kallas C-versioner) för det här operativsystemet. Operativsystem med extended-support har endast kumulativa månatliga säkerhetsuppdateringar (kallas "B" eller Uppdatera tisdag- version).

Kontrollera att du har installerat de nödvändiga uppdateringarna i avsnittet Så här hämtar du den här uppdateringen innan du installerar den här uppdateringen. 

Kunder som har köpt Utökade säkerhetsuppdateringar (ESU) för lokala versioner av det här operativsystemet måste följa procedurerna i KB4522133 för att fortsätta få säkerhetsuppdateringar efter att den utökade supporten upphörde den 14 januari 2020. Mer information om ESU och vilka utgåvor som stöds finns i KB4497181

Eftersom ESU är tillgängligt som en separat SKU för vart och ett av de år då de erbjuds (2020, 2021 och 2022) – och eftersom ESU bara kan köpas under specifika 12-månadersperioderna – måste du köpa det tredje året av ESU-täckning separat och aktivera en ny nyckel på varje tillämplig enhet för dina enheter för att fortsätta få säkerhetsuppdateringar under 2022.

Om din organisation inte har köpt det tredje året av ESU-täckningen måste du köpa ESU för år 1, år 2 och år 3 för dina tillämpliga Windows Server 2008 SP2-enheter innan du installerar och aktiverar fleraktiveringsnycklarna för år 3 för att få uppdateringar. Stegen för att installera, aktivera och distribuera ESU:er är desamma för första, andra och tredje året. Mer information finns i Skaffa utökad säkerhet Uppdateringar för berättigade Windows-enheter för volymlicensieringsprocessen och Köpa Windows 7-utökade säkerhetsuppdateringar som molnlösningsleverantör för csp-processen. Kontakta OEM-tillverkaren (Original Equipment Manufacturer) för inbäddade enheter.

Mer information finns i ESU-bloggen.

Obs! Mer information om olika typer av Windows-uppdateringar, till exempel kritisk, säkerhet, drivrutin, Service Pack och så vidare, finns i följande artikel. Om du vill visa andra anteckningar och meddelanden för Windows Server 2008 SP2 läser du startsidan för uppdateringshistoriken nedan.

Förbättringar

Den här säkerhetsrelaterade uppdateringen innehåller viktiga ändringar för följande:

Mer information om åtgärdade säkerhetsrisker finns i Distributioner | Säkerhetsuppdateringsguiden och säkerhetsuppdateringsguiden för november 2022 Uppdateringar.

Kända fel i den här uppdateringen

Symptom

Nästa steg

När du har installerat uppdateringen och startat om enheten kan det hända att du får felmeddelandet ”Det gick inte att konfigurera Windows-uppdateringar. Ändringar återställs. Stäng inte av datorn” och det kan stå att uppdateringen misslyckades i uppdateringshistoriken.

Detta är förväntat i följande fall:

  • Om du installerar den här uppdateringen på en enhet som kör en utgåva som inte stöds för ESU. En fullständig lista över vilka utgåvor som stöds finns i KB4497181.

  • Om ingen ESU MAK-tilläggsnyckel har installerats och aktiverats.

Om du har köpt en ESU-nyckel och får det här problemet kontrollerar du att alla förutsättningar har uppfyllts och att nyckeln har aktiverats. Mer information om aktivering finns i det här blogginlägget. Information om förutsättningar finns i avsnittet ”Så här hämtar du uppdateringen” i den här artikeln.

När den här uppdateringen eller en senare Windows-uppdatering har installerats kan domänanslutningsåtgärder misslyckas och felet "0xaac (2732): NERR_AccountReuseBlockedByPolicy" inträffar. Dessutom finns text med texten "Ett konto med samma namn finns i Active Directory. Återanvändning av kontot har blockerats av säkerhetsprincipen" kan visas.

Berörda scenarier omfattar vissa domänanslutnings- eller ombildningsåtgärder där ett datorkonto har skapats eller mellanlagras av en annan identitet än den identitet som användes för att ansluta till eller återansluta datorn till domänen.

Mer information om det här problemet finns i KB5020276 – Netjoin: Domain join hardening changes.

Obs! Det är osannolikt att det här problemet uppstår för konsumentskrivbordsversioner av Windows.

Mer information om det här problemet finns i KB5020276 .

När du har installerat Windows-uppdateringar som släpptes den 8 november 2022 eller senare på Windows-servrar som använder rollen Domänkontrollant kan du ha problem med Kerberos-autentisering. Det här problemet kan påverka eventuell Kerberos-autentisering i din miljö. Vissa scenarier som kan påverkas:

När det här problemet uppstår kan du få en microsoft-Windows-Kerberos-Key-Distribution-Center händelse-ID 4-felhändelse i avsnittet System i händelseloggen på domänkontrollanten med texten nedan.

Obs! Berörda händelser kommer att innehålla strängen "den saknade nyckeln har ett ID på 1":

While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key.

Obs! Det här problemet är inte en förväntad del av säkerhetshärdningen för Netlogon och Kerberos från och med säkerhetsuppdateringen i november 2022. Du måste fortfarande följa anvisningarna i de här artiklarna även efter att det här problemet har lösts.

Windows-enheter som används hemma av konsumenter eller enheter som inte ingår i en lokal domän påverkas inte av det här problemet. Azure Active Directory-miljöer som inte är hybrider och inte har några lokal Active Directory-servrar påverkas inte.

Det här problemet åtgärdas i uppdatering KB5021657.

När du har installerat den här uppdateringen eller en senare uppdatering på en domänkontrollant (DC) kan det uppstå en minnesläcka med Local Security Authority Subsystem Service (LSASS,exe). Beroende på arbetsbelastningen för din domänkontrollant och tiden sedan den senaste omstarten av servern kan LSASS kontinuerligt öka minnesanvändningen med serverns upptid och servern kan sluta svara eller startas om automatiskt.

Obs! De uppdateringar som inte ingår i gruppen för datorer som släpptes 17 november 2022 och 18 november 2022 kan påverkas av det här problemet.

Du åtgärdar problemet genom att öppna en kommandotolk som administratör och använda följande kommando för att ange registernyckeln KrbtgtFullPacSignature till 0:

reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD

Observera När det här kända problemet har lösts bör du ställa in KrbtgtFullPacSignature på en högre inställning, beroende på vilken miljö som tillåts. Vi rekommenderar att du aktiverar tvingande läge så snart miljön är klar.

Mer information om den här registernyckeln finns i KB5020805: Så här hanterar du Kerberos-protokolländringar relaterade till CVE-2022-37967.

Vi arbetar med en lösning och kommer att tillhandahålla en uppdatering i en kommande version.

När du har installerat den här uppdateringen kanske appar som använder ODBC-anslutningar via Microsoft ODBC SQL Server Driver (sqlsrv32.dll) för att komma åt databaser inte ansluter. Dessutom kan du få ett fel i appen, eller så kan du få ett felmeddelande från SQL Server. Exempel på fel som kan uppstå är följande meddelanden:

  • EMS-systemet stötte på ett problem.Meddelande: [Microsoft][ODBC SQL Server Driver] Protocol error in TDS Stream.

  • EMS-systemet stötte på ett problem.Meddelande: [Microsoft][ODBC SQL Server Driver] Okänd token som tagits emot från SQL Server.

Anmärkning för utvecklare: Appar som påverkas av det här problemet kanske inte hämtar data, till exempel när du använder funktionen SQLFetch. Det här problemet kan uppstå när du anropar SQLBindCol-funktionen före SQLFetch eller anropar SQLGetData-funktionen efter SQLFetch och när värdet 0 (noll) anges för argumentet "BufferLength" för fasta datatyper som är större än 4 byte (till exempel SQL_C_FLOAT).

Om du vill bestämma om du använder en app som påverkas öppnar du appen som ansluter till en databas. Öppna kommandotolken, skriv följande kommando och tryck sedan på Retur:

tasklist /m sqlsrv32.dll

Om kommandot returnerar en uppgift kan appen påverkas.

Du kan åtgärda det här problemet genom att göra något av följande:

  • Om appen redan använder eller kan använda DSN (Data Source Name) för att välja ODBC-anslutningar installerar du Microsoft ODBC Driver 17 för SQL Server och väljer den för användning med appen med DSN.Observera: Vi rekommenderar den senaste versionen av Microsoft ODBC Driver 17 för SQL Server eftersom den är mer kompatibel med appar som för närvarande använder den äldre Microsoft ODBC SQL Server Driver (sqlsrv32.dll) än Microsoft ODBC Driver 18 för SQL Server.

  • Om appen inte kan använda DSN måste appen ändras för att tillåta DSN eller för att använda en nyare ODBC-drivrutin än Microsoft ODBC SQL Server Driver (sqlsrv32.dll).

Det här problemet åtgärdades i KB5022353. Om du har implementerat ovanstående lösning rekommenderar vi att du fortsätter använda konfigurationen i lösningen.

Så här hämtar du uppdateringen

Innan du installerar den här uppdateringen

VIKTIGT Kunder som har köpt Utökade säkerhetsuppdateringar (ESU) för lokala versioner av det här operativsystemet måste följa procedurerna i KB4522133 för att fortsätta få säkerhetsuppdateringar eftersom den utökade supporten upphörde den 14 januari 2020.

Mer information om ESU och vilka utgåvor som stöds finns i KB4497181.

Språkpaket

Om du installerar ett språkpaket efter att du har installerat den här uppdateringen måste du installera om den här uppdateringen. Därför rekommenderar vi att du installerar alla språkpaket som du behöver innan du installerar den här uppdateringen. Mer information finns i Lägga till språkpaket i Windows.

Förutsättning

Du måste installera uppdateringarna nedan och starta om enheten innan du installerar den senaste samlade uppdateringen. Om du installerar dessa uppdaterar förbättras tillförlitligheten för uppdateringsprocessen och risken minskar för problem vid installation av den samlade uppdateringen och Microsofts säkerhetskorrigeringar.

  1. Servicing stack-uppdateringen (SSU) från 9 april 2019 (KB4493730). Om du vill hämta det fristående paketet för den här SSU-versionen kan du söka efter det i Microsoft Update Catalog. Den här uppdateringen krävs för att installera uppdateringar som är endast SHA-2-signerade.

  2. Den senaste SHA-2-uppdateringen (KB4474419) släpptes 8 oktober 2019. Om du använder Windows Update erbjuds den senaste SHA-2-uppdateringen automatiskt. Den här uppdateringen krävs för att installera uppdateringar som är endast SHA-2-signerade. Mer information om SHA-2-uppdateringar finns i 2019 SHA-2 Code Signing Support requirement for Windows and WSUS.

  3. Licensförberedelsepaketet för utökade säkerhets Uppdateringar uppdateringar (ESU) (KB4538484) eller uppdateringen för licensförberedelsepaketet för utökade Uppdateringar säkerhetsuppdateringar (ESU) (KB4575904). Förberedelsepaketet för ESU-licensiering erbjuds dig av WSUS. Om du vill hämta det fristående paketet för ESU-licensförberedelsepaketet kan du söka efter det i Microsoft Update Catalog.

När du har installerat objekten ovan rekommenderar vi starkt att du installerar den senaste SSU-versionen (KB5016129). Om du använder Windows Update och är ESU-kund erbjuds den senaste SSU-versionen automatiskt. Om du vill hämta det fristående paketet för den senaste SSU-versionen kan du söka efter det i Microsoft Update Catalog. Allmän information om SSU:er finns i Servicing Stack-uppdateringar och Servicing Stack Uppdateringar (SSU): Vanliga frågor och svar.

PÅMINNELSE Om du använder endast säkerhetsuppdateringar måste du också installera alla tidigare säkerhetsrelaterade uppdateringar och den senaste kumulativa uppdateringen för Internet Explorer (KB5019958).

Installera den här uppdateringen

Utgivningskanal

Tillgängligt

Nästa steg

Windows Update och Microsoft Update

Nej

Se de andra alternativen nedan.

Microsoft Update Catalog

Ja

Om du vill hämta det fristående paketet för den här uppdateringen går du till webbplatsen Microsoft Update Catalog.

WSUS (Windows Server Update Services)

Ja

Den här uppdateringen synkroniseras automatiskt med WSUS om du konfigurerar Produkter och klassificeringar på följande sätt:

Produkt: Windows Server 2008 Service Pack 2

Klassificering: Säkerhetsuppdateringar

Filinformation

Om du vill ha en lista med de filer som ingår i den här uppdateringen kan du ladda ned filinformation för uppdatering KB5020005.

Referenser

Läs mer om den standardterminologi som används för att beskriva Microsofts programuppdateringar.

Behöver du mer hjälp?

Vill du ha fler alternativ?

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Communities hjälper dig att ställa och svara på frågor, ge feedback och få råd från experter med rika kunskaper.