原始发布日期: 2025 年 10 月 21 日
KB ID:5070568
症状
在具有重复安全 ID (SID) 的设备之间,可能会遇到 Kerberos 和 New Technology LAN Manager (NTLM) 身份验证失败。 在 Windows 11、版本 24H2、Windows 11、版本 25H2 和 2025 Windows Server安装 Windows 更新之后,可能会出现此问题:
这些身份验证失败可能表现为各种症状,包括:
-
系统反复提示用户输入凭据。
-
使用有效凭据的访问请求失败并出现屏幕错误,例如:
-
登录尝试失败。
-
登录失败/凭据不起作用。
-
计算机 ID 中存在部分不匹配。
-
用户名或密码不正确。
-
-
无法通过 IP 地址或主机名访问共享网络文件夹。
-
无法建立远程桌面连接,包括远程桌面协议 (RDP) 会话,这些会话通过特权访问管理 (PAM) 解决方案或第三方工具启动。
-
故障转移群集 失败并出现“拒绝访问”错误。
-
事件查看器可能会在 Windows 日志中显示以下错误之一:
-
安全日志包含 SEC_E_NO_CREDENTIALS 错误。
-
系统日志包含本地安全机构服务器服务 (lsasrv.dll) 事件 ID:6167 以及消息文本:
计算机 ID 中存在部分不匹配。 这表示票证已作或属于其他启动会话。
-
原因
2025 年 8 月 29 日及之后发布的 Windows 更新包括额外的安全保护,这些安全保护对 SID 强制检查,导致设备具有重复 SID 时身份验证失败。 此设计更改会阻止此类设备之间的身份验证握手。 与这些安全保护相关的失败身份验证请求由本地安全机构服务器服务标识, (lsasrv.dll) 系统事件日志中的事件 ID:6167 。
在不运行 Sysprep 的情况下执行不支持的克隆或复制 Windows 安装时,可能会创建重复 SID。 在 2025 年 8 月 29 日和之后安装 Windows 更新后,Windows 11、版本 24H2 和 25H2 以及 Windows Server 2025 上的 OS 重复需要 Sysprep 启用的 SID 唯一性。
有关详细信息,请参阅 Windows 安装的磁盘重复Microsoft策略。
解决方法
为了获得永久解决方案,需要使用 受支持的方法来克隆或复制 Windows 安装 ,以便它们具有唯一的 SID,重新生成包含重复 SID 的设备。
IT 管理员可以通过安装和配置特殊组策略来暂时解决此问题。 若要获取此特殊组策略,请联系Microsoft业务支持部门。
