Помилки автентифікації Kerberos і NTLM через повторювані ідентифікатори SID

Ознаки 

На пристроях із повторюваними ідентифікаторами безпеки (SID) можуть виникати помилки автентифікації Kerberos і New Technology Lan Manager (NTLM). Ця проблема може виникнути в Windows 11 версії 24H2, Windows 11, версії 25H2 та Windows Server 2025 після інсталяції оновлень Windows, випущених у та після: 

• 29 серпня 2025 р. – KB5064081 (збірка ОС 26100.5074) Preview

• 9 вересня 2025 р. – KB5065426 (збірка ОС 26100.6584)

Ці помилки автентифікації можуть проявлятися як різноманітні ознаки, зокрема: 

• Користувачам постійно пропонується ввести облікові дані.

• Запити на доступ із припустимими обліковими даними завершуватиметься помилкою на екрані, наприклад:

  • Не вдалося ввійти.

  • Не вдалося ввійти або ваші облікові дані не допомогли.

  • Ідентифікатор комп'ютера частково невідповідний.

  • Неправильне ім'я користувача або пароль.

• Доступ до спільних мережевих папок не можна отримати за допомогою IP-адреси або імені хоста.

• Не вдалося встановити підключення до віддаленого робочого стола, зокрема сеанси протоколу RDP, ініційовані за допомогою рішень PAM або засобів сторонніх постачальників.

• Помилка відмовостійкого кластеризації з помилкою "Немає доступу".

• перегляд подій може відображатися одна з таких помилок у журналах Windows:

  • Журнал безпеки містить помилку SEC_E_NO_CREDENTIALS .

  • Системний журнал містить ідентифікатор події служби локального центру безпеки (lsasrv.dll): 6167 із текстом повідомлення:

    Ідентифікатор комп'ютера частково невідповідний. Це означає, що квиток оброблено або він належить до іншого сеансу завантаження.

Причина

Оновлення Windows, випущені 29 серпня 2025 року та після них, включають додаткові засоби захисту, які забезпечують перевірку ідентифікаторів SID, що призводить до помилки автентифікації, коли пристрої мають повторювані ідентифікатори SID. Ця зміна дизайну блокує розпізнавання рукостискання між такими пристроями. Невдалі запити автентифікації, пов'язані з цими захистами безпеки, визначено ідентифікатором події служби локального центру безпеки (lsasrv.dll): 6167 у журналі подій системи. 

Повторювані ідентифікатори SID можна створити під час виконання непідтримуваного клонування або дублювання інсталяції Windows без запуску Sysprep. Для дублювання ОС на Windows 11, версіях 24H2 та 25H2, а також Windows Server 2025 після інсталяції оновлень Windows 29 серпня 2025 р. потрібна унікальність SID, активована Sysprep. 

Докладні відомості див. в статті Політика Корпорації Майкрософт щодо дублювання дискових інсталяцій Windows. 

Спосіб усунення проблеми

Для постійної роздільної здатності пристрої з повторюваними ІДЕНТИФІКАТОРами SID потрібно буде перебудувати за допомогою підтримуваних методів для клонування або дублювання інсталяції Windows , щоб вони мали унікальні ідентифікатори SID. 

ІТ-адміністратори можуть тимчасово вирішити цю проблему, інсталювавши та настроївши спеціальну Групова політика. Щоб отримати цю спеціальну Групова політика, зверніться до служби підтримки Корпорації Майкрософт для бізнесу.