2022 年 11 月 8 日 - KB5019966 (OS 内部版本 17763.3650)

症状

解决方法

安装 KB5001342或更高版本后，群集服务可能无法启动，因为找不到群集网络驱动程序。

出现此问题的原因是更新了此服务使用的 PnP 类驱动程序。  大约 20 分钟后，你应该能够重启设备，并且不会遇到此问题。
有关此问题的特定错误、原因和解决方法的详细信息，请参阅 KB5003571。

在具有域控制器角色的 Windows Server 上安装 2022 年 11 月 8 日或之后发布的更新后，可能会遇到 Kerberos 身份验证问题。 此问题可能会影响环境中的任何 Kerberos 身份验证。 可能会受到影响的一些方案：

• 域用户登录可能失败。 这还可能会影响 Active Directory 联合身份验证服务 (AD FS) 身份验证。

• 组托管服务帐户 (gMSA) 用于 Internet Information Services (IIS Web Server)等服务，可能无法进行身份验证。

• 使用域用户的远程桌面连接可能无法连接。

• 你可能无法访问工作站上的共享文件夹和服务器上的文件共享。

• 需要域用户身份验证的打印可能会失败。

遇到此问题时，可能会在域控制器上事件日志的“系统”部分收到 Microsoft-Windows-Kerberos-Key-Distribution-Center 事件 ID 14 错误事件，并显示以下文本。 注意：受影响的事件将具有“缺少的密钥 ID 为 1”：

While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key.

注意 此问题不是从 2022 年 11 月安全更新开始面向 Netlogon 和 Kerberos 的安全强化预期的部分。 即使此问题得到解决，仍需遵循这些文章中的指导。

使用者在家中使用的 Windows 设备或不属于本地域的设备不受此问题的影响。 非混合且没有任何本地 Active Directory 服务器的 Azure Active Directory 环境不会受到影响。

此问题已在 2022 年 11 月 17 日发布的带外更新中得到解决，用于在环境中的所有域控制器 (DC) 上安装。 无需安装任何更新或对环境中的其他服务器或客户端设备进行任何更改即可解决此问题。 如果对此问题使用了任何解决方法或缓解措施，则你不再需要它们，建议将它们删除。

若要获取这些带外更新的独立包，请在 Microsoft 更新目录中搜索 KB 编号。 可以手动将这些更新导入到 Windows Server Update Services (WSUS) 和 Microsoft Endpoint Configuration Manager。 有关 WSUS 说明，请参阅 WSUS 和目录站点。 有关配置管理器说明，请参阅 从 Microsoft 更新目录中导入更新。

注意 请注意，以下更新并非来自 Windows 更新，并且不会自动安装。

累积更新：

• Windows Server 2022：KB5021656

• Windows Server 2019：KB5021655

• Windows Server 2016：KB5021654

注意 在安装这些累积更新之前，无需应用任何以前的更新。 如果已安装 2022 年 11 月 8 日发布的更新，则在安装任何后续更新（包括上面列出的更新）之前，无需卸载受影响的更新。

独立更新：

• Windows Server 2012 R2：KB5021653

• Windows Server 2012：KB5021652

• Windows Server 2008 R2 SP1：此更新尚不可用。 有关详细信息，请在接下来的一周内查看此处。

• Windows Server 2008 SP2：KB5021657

注意 如果你使用 Windows Server 这些版本的仅安全更新，则只需在 2022 年 11 月安装这些独立更新即可。 仅安全更新不是累积更新，还需要安装所有以前的仅安全更新才能完全更新。 每月汇总更新是累积更新，包括安全更新和所有质量更新。 如果使用每月汇总更新，则需要安装上面列出的独立更新来解决此问题，并安装 2022 年 11 月 8 日发布的每月汇总，以接收 2022 年 11 月的质量更新。 如果已安装 2022 年 11 月 8 日发布的更新，则在安装任何后续更新（包括上面列出的更新）之前，无需卸载受影响的更新。

安装此或更高版本的更新后，在 Wi-Fi 网络或访问点之间暂时失去网络连接或转换后，可能无法重新连接到直接访问。

注意 此问题不应影响其他远程访问解决方案，例如 VPN（有时称为远程访问服务器或 RAS）和 Always On VPN (AOVPN)。

使用者在家中使用的 Windows 设备或组织中未使用直接访问来远程访问组织的网络资源的设备不受影响。

此问题已在 KB5021237 中得到解决。

在域控制器 (DC) 上安装此更新或更高版本的更新后，可能会遇到本地安全机构子系统服务（LSASS.exe）内存泄露的问题。 根据 DC 的工作负载和自上次重启服务器以来的时间量，LSASS 可能会随着服务器的运行时间持续增加内存使用量。 服务器可能变得无响应或自动重启。

注意 2022 年 11 月 17 日和 2022 年 11 月 18 日发布的 DC 带外更新可能会受到此问题的影响。

此问题已在 KB5021237 中得到解决。

安装此更新后，通过利用 Microsoft ODBC SQL Server 驱动程序 (sqlsrv32.dll) 的 ODBC 连接来访问数据库的应用可能无法进行连接。 你可能会在应用中收到错误，也可能会从 SQL Server 收到错误，例如收到“EMS 系统遇到问题”以及“消息: [Microsoft][ODBC SQL Server 驱动程序] TDS 流中出现协议错误”或“消息: [Microsoft][ODBC SQL Server 驱动程序] 从 SQL Server 收到未知令牌”。

面向开发人员的 Note 受此问题影响的应用可能无法提取数据，例如在使用 SQLFetch 函数时便是如此。 当在 SQLFetch 之前调用 SQLBindCol 函数 或在 SQLFetch 之后调用 SQLGetData 函数 时，如果针对大于 4 个字节的定点数据类型（例如 SQL_C_FLOAT），为“BufferLength”参数指定了值 0（零），则可能会出现此问题。

如果不确定是否正在使用任何受影响的应用，请打开任何一个使用数据库的应用，然后打开命令提示符应用（选择“开始”，然后键入“命令提示符”并选择该应用）并键入以下命令：  

tasklist /m sqlsrv32.dll

此问题已在 KB5022286 中得到解决。