Applies ToWindows Server 2022

Дата випуску:

10.10.2023

Версія:

Збірка ОС 20348.2031

Відомості про термінологію Windows Update див. в статті про типи оновлень Windows і типи щомісячного покращення. Огляд Windows Server 2022 див. на сторінці журналу оновлень.     

ПриміткаДотримуйтеся @WindowsUpdate, щоб дізнатися, коли новий вміст буде опубліковано на приладній дошці справності випуску Windows.     

Поліпшень

Це оновлення системи безпеки містить покращення якості. Під час інсталяції цього KB:

  • Новий! Це оновлення додає додатковий компонент настроювання Azure Arc. Він містить нову піктограму системного трею Azure Arc і новий запис Диспетчера серверів для Azure Arc Management. Крім того, є графічний інсталятор для агента підключеного комп'ютера Azure. Тепер ви можете ввімкнути Azure Arc, виконавши всього кілька дій. Виконувати сценарій PowerShell не потрібно. Докладні відомості див. в статті Підключення комп'ютерів Windows Server до Azure за допомогою Azure Arc Setup.

  • Новий! Це оновлення завершує роботу відповідно до вимог GB18030-2022. Видаляє та повторно зіставлено символи для вводу Microsoft Wubi та вводу Microsoft Pinyin U-mode. Більше не можна вводити кодові точки символів, які не підтримуються. Усі потрібні кодові точки оновлено.

  • Це оновлення усуває умову змагання. Це відбувається, коли кодові сторінки завантажуються під час ранньої частини запуску. Це призводить до STOP-помилки 0x7e.

  • Це оновлення змінює написання української столиці з Києва на Київ.

  • Це оновлення підтримує перехід на літній час (DST) зміни в Гренландії.

  • Це оновлення вирішує проблему, яка впливає на заплановані завдання. Можливо, не вдасться виконати завдання, які викликають API диспетчера облікових даних. Це відбувається, якщо вибрати [Виконувати лише тоді, коли користувач ввійшов] і [Запускати з найвищими правами].

  • Це оновлення вирішує проблему, яка впливає на делегування Kerberos. Це може не вдається в неправильному напрямку. Код помилки 0xC000006E (STATUS_ACCOUNT_RESTRICTION). Ця проблема може виникнути, якщо позначити проміжний обліковий запис служби як "Цей обліковий запис конфіденційний і не може бути делегований" в Active Directory. Програми також можуть повертати повідомлення про помилку "System.Security.Authentication.AuthenticationException: не вдалося ініціалізувати контекст безпеки. Код помилки: -2146893042".

  • Це оновлення вирішує проблему, яка впливає на пристрої PCI. Під час увімкнення захисту ядра прямого доступу до пам'яті (DMA) може з'явитися повідомлення про помилку.

  • Це оновлення покращує ефективність і продуктивність рекомендованого засобу усунення неполадок.

  • Це оновлення впливає на підключення платформи фільтрування Windows (WFP). Покращено діагностику переспрямування.

  • Це оновлення вирішує проблему, яка впливає на зовнішнє зв'язування. Це не вдається. Це відбувається після інсталяції оновлень Windows від травня 2023 року або пізнішої версії. Через це виникають проблеми, які впливають на запити та автентифікацію LDAP.

  • Це оновлення впливає на обробку події Active Directory з ідентифікатором 1644. Тепер він приймає події, довжина яких перевищує 64 КБ. Ця зміна скорочує запити полегшених протоколів доступу до каталогів (LDAP), які в події від 1644 до 20000 символів за промовчанням. Значення 20K можна настроїти за допомогою розділу реєстру "DEFAULT_DB_EXPENSIVE_SEARCH_FILTER_MAX_LOGGING_LENGTH_IN_CHARS".

  • Це оновлення вирішує проблему, яка впливає на тих, хто активує параметр облікового запису "Смарт-картка необхідна для інтерактивного входу". Якщо RC4 вимкнуто, не можна автентифікувати ферми служб віддалених робочих столів. Повідомлення про помилку: "Сталася помилка автентифікації. Запитаний тип шифрування не підтримується KDC."

  • Це оновлення вирішує проблему, яка впливає на вводу-виводу через блок серверних повідомлень (SMB). Під час використання алгоритму стискання LZ77+Huffman може виникнути помилка.

  • Це оновлення вирішує проблему, яка впливає на клієнт блокування серверних повідомлень (SMB). Не вдалося повторно підключити всі постійні маркери, коли повторна автентифікація сеансу завершується невдало.

  • Щоб захиститися від CVE-2023-44487, слід інсталювати останнє оновлення Windows. Залежно від сценарію використання, ви також можете встановити обмеження RST_STREAMS за хвилину за допомогою нових розділів реєстру в цьому оновленні. 

    Значення реєстру DWORD можна створити в таблиці нижче в розділі реєстру: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters

    Ці ключі відсутні за замовчуванням під час інсталяції цього KB. Ви можете створити їх за потреби, щоб установити нові значення для свого середовища.

    Реєстру

    Значення за промовчанням

    Припустимий діапазон значень

    Функція розділу реєстру

    Http2MaxClientResetsPerMinute

    400

    0–65535

    Установлює дозволену кількість скидань (RST_STREAMS) на хвилину для підключення. Коли ви досягнете цього обмеження, клієнту надсилається повідомлення GOAWAY для підключення.

    Http2MaxClientResetsGoaway

    1

    0-1

    Вимикає або дає змогу надсилати повідомлення GOAWAY, коли ви досягнете обмеження. Якщо встановити для цього параметра значення 0, підключення завершиться, щойно ви досягнете обмеження.

Якщо ви інсталювали попередні оновлення, на пристрій завантажаться та інсталюються лише нові оновлення, які містяться в цьому пакеті.

Докладні відомості про вразливості системи безпеки див. в посібнику з оновлень системи безпеки та Оновлення системи безпеки за жовтень 2023 р.

Оновлення стека обслуговування Windows Server 2022 – 20348.2032

Це оновлення підвищує якість стека обслуговування – компонента, який інсталює оновлення Windows. Оновлення стека обслуговування (SSU) забезпечують надійний і надійний стек обслуговування, щоб ваші пристрої могли отримувати та інсталювати оновлення Microsoft.

Відомі проблеми в цьому оновленні

Ознаки

Тимчасове вирішення

Після інсталяції цього оновлення на віртуальних машинах (віртуальних машинах), що працюють на хостах VMware ESXi, windows 2022 може не запуститися. Змінені віртуальні машини отримають помилку із синім екраном і stop-кодом: PNP DETECTED FATAL ERROR. Ця проблема виникає лише в гостьових віртуальних машинах із такою конфігурацією лише на хостах VMware ESXi:

  • Фізичний процесор AMD Epyc

  • У настройках VMware для ВМ увімкнуто функцію "Надати МОММУ гостьовій ОС".

  • У Windows Server 2022 увімкнуто функцію "Увімкнути безпеку на основі віртуалізації".

  • "System Guard Безпечний запуск" увімкнуто у Windows Server 2022.

Цю проблему вирішено в KB5032198

Отримання оновлення

Перед інсталяцією цього оновлення

Корпорація Майкрософт тепер об'єднує останнє оновлення стека обслуговування (SSU) для вашої операційної системи з останнім сукупним пакетом оновлень (LCU). Загальні відомості про оновлення стека обслуговування (SSU) див. в статті Оновлення стека обслуговування та Стек обслуговування Оновлення (SSU): запитання й відповіді.

Обов'язкова умова для автономного обслуговування образів ОС:

Переконайтеся, що зображення містить KB5030216 (12.09.2023) або пізніший LCU. Якщо ні, інсталюйте його на свій автономний носій перед інсталяцією останнього оновлення. Цей LCU оновлює версію SSU до 20348.1960. Це мінімальна версія SSU, яку потрібно заборонити 0x800f0823 помилок (CBS_E_NEW_SERVICING_STACK_REQUIRED).

Інсталювати це оновлення

Канал випуску

Доступно

Наступний крок

Windows Update і Microsoft Update

Так

Немає. Це оновлення автоматично завантажиться й інсталюється з Windows Update.

Оновлення Windows для бізнесу

Так

Немає. Це оновлення буде автоматично завантажено та інстальовано з Windows Update відповідно до настроєних політик.

Каталог Microsoft Update

Так

Щоб отримати автономний пакет для цього оновлення, перейдіть на веб-сайт Каталог Microsoft Update.

Служби Windows Server Update Services (WSUS)

Так

Це оновлення автоматично синхронізується зі службами WSUS, якщо ви налаштуєте продукти та класифікації таким чином:

Продукт: операційна система Microsoft Server-21H2

Класифікація: оновлення системи безпеки

Якщо потрібно видалити LCU

Щоб видалити LCU після інсталяції об'єднаного пакета SSU та LCU, скористайтеся параметром командного рядка DISM/Remove-Package з іменем пакета LCU як аргументом. Ім'я пакета можна знайти за допомогою цієї команди: DISM /online /get-packages.

Запуск автономного інсталятора Windows Update (wusa.exe) з перемикачем /uninstall в об'єднаному пакеті не працюватиме, оскільки об'єднаний пакет містить SSU. Після інсталяції не можна видалити SSU із системи.

Відомості про файл

Щоб отримати список файлів, які містяться в цьому оновленні, завантажте відомості про файл для сукупного пакета оновлень 5031364

Щоб отримати список файлів, які містить оновлення стека обслуговування, завантажте відомості про файл для SSU версії 20348.2032

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.

Спільноти допомагають ставити запитання й відповідати на них, надавати відгуки та дізнаватися думки висококваліфікованих експертів.