2022 年 11 月 8 日 - KB5020013 (仅限安全的更新)

症状

后续步骤

安装此更新并重新启动设备后，你可能会收到错误消息“配置 Windows 更新失败。 正在还原更改。 请勿关闭计算机，“更新可能会在更新历史记录中显示为”失败”。

在以下情况下会出现此情况：

• 如果你在运行不支持 ESU 的版本的设备上安装此更新。 有关支持的版本的完整列表，请参阅 KB4497181。

• 如果你没有安装并激活 ESU MAK 加载项密钥。

• 如果你已购买 ESU 密钥并遇到此问题，请验证你已应用所有先决条件，且密钥已激活。 有关激活的信息，请参阅此博客文章。 有关先决条件的信息，请参阅本文的如何获取此更新部分。

安装此更新或更高版本的 Windows 更新后，域加入操作可能会失败，并出现错误“0xaac (2732) ：NERR_AccountReuseBlockedByPolicy”。 此外，Active Directory 中存在同名帐户的文本。 可能会显示“安全策略阻止了重新使用帐户”。

受影响的方案包括一些域加入或重新映像操作，其中计算机帐户是由与用于加入或重新加入计算机到域的标识不同的标识创建的或预先暂存的。

有关此问题的详细信息，请参阅 KB5020276 - Netjoin：域加入强化更改。

注意 Windows 的使用者桌面版不太可能遇到此问题。

有关此问题的指导，请参阅 KB5020276 。

在使用域控制器角色的 Windows Server 上安装 2022 年 11 月 8 日或之后发布的 Windows 更新后，可能会出现 Kerberos 身份验证问题。 此问题可能会影响环境中的任何 Kerberos 身份验证。 一些可能受到影响的方案：

• 域用户登录可能会失败。 这也可能会影响 Active Directory 联合身份验证服务 (AD FS) 身份验证。

• 组托管服务帐户 (gMSA) 用于Internet Information Services (IIS Web Server) 等服务可能无法进行身份验证。

• 使用域用户的远程桌面连接可能无法连接。

• 你可能无法访问工作站上的共享文件夹和服务器上的文件共享。

• 需要域用户身份验证的打印可能会失败。

遇到此问题时，你可能会在域控制器上的事件日志的“系统”部分中收到 Microsoft-Windows-Kerberos-Key-Distribution-Center 事件 ID 4 错误事件，其中包含以下文本。

备注 受影响的事件将包含“缺少的密钥的 ID 为 1”字符串：

While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key.

备注 此问题不是从 2022 年 11 月安全更新开始的 Netlogon 和 Kerberos 安全强化的预期部分。 即使此问题得到解决，仍必须遵循这些文章中的指南。

用户在家中使用的 Windows 设备或不属于本地域的设备不受此问题的影响。 非混合且没有本地 Active Directory 服务器的 Azure Active Directory 环境不受影响。

此问题已在更新 KB5021651 中得到解决。

在域控制器上安装此更新或更高版本的更新后， (DC) ，可能会遇到本地安全机构子系统服务 (LSASS，exe) 的内存泄漏。 根据 DC 的工作负荷和自上次重新启动服务器以来的时间量，LSASS 可能会随着服务器的运行时间而不断增加内存使用量，并且服务器可能会无响应或自动重启。

注意 此问题可能会影响 2022 年 11 月 17 日和 2022 年 11 月 18 日发布的 DC 的带外更新。

若要缓解此问题，请以管理员身份打开命令提示符，并使用以下命令将注册表项 KrbtgtFullPacSignature 设置为 0：

reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD

备注 解决此已知问题后，应根据环境允许的情况，将 KrbtgtFullPacSignature 设置为更高的设置。 建议在环境准备就绪后立即启用强制模式。

有关此注册表项的详细信息，请参阅 KB5020805：如何管理与 CVE-2022-37967 相关的 Kerberos 协议更改。

我们正寻求一种解决方案，并会在即将发布的版本中提供更新。

安装此更新后，通过 Microsoft ODBC SQL Server驱动程序 (sqlsrv32.dll) 使用 ODBC 连接访问数据库的应用可能无法连接。 此外，你可能会在应用中收到错误，或者可能会收到来自SQL Server的错误。 可能收到的错误包括以下消息：

• EMS 系统遇到问题。
  消息：TDS Stream 中的 [Microsoft][ODBC SQL Server驱动程序] 协议错误。

• EMS 系统遇到问题。
  消息：[Microsoft][ODBC SQL Server驱动程序] 从 SQL Server 接收的令牌未知。

面向开发人员的注意事项： 受此问题影响的应用可能无法提取数据，例如在使用 SQLFetch 函数时。 当在 SQLFetch 之前调用 SQLBindCol 函数 或在 SQLFetch 之后调用 SQLGetData 函数 时，如果为大于 4 个字节的固定数据类型（例如 SQL_C_FLOAT) ）的“BufferLength”参数提供了值 0 (零 () ，则可能会出现此问题。

若要确定是否使用受影响的应用，请打开连接到数据库的应用。 打开命令提示符窗口，键入以下命令，然后按 Enter：

tasklist /m sqlsrv32.dll

如果命令返回任务，则应用可能会受到影响。

若要缓解此问题，可以执行下列操作之一：

• 如果你的应用已在使用或能够使用数据源名称 (DSN)来选择 ODBC 连接，请安装 Microsoft ODBC Driver 17 for SQL Server 并选择它以用于使用 DSN 的应用。
  
  注意：我们建议使用最新版本的 Microsoft ODBC Driver 17 for SQL Server，因为它与当前使用旧版 Microsoft ODBC SQL Server Driver (sqlsrv32.dll) 的应用更兼容，而不是 Microsoft ODBC Driver 18 for SQL Server。

• 如果应用无法使用 DSN，则需要修改应用以允许 DSN 或使用比 Microsoft ODBC SQL Server 驱动程序 (sqlsrv32.dll) 更新的 ODBC 驱动程序。

此问题已在 KB5022339 中解决。 如果已实现上述解决方法，建议继续使用解决方法中的配置。

发布频道

可用

下一步

Windows Update 和 Microsoft Update

否

参阅以下其他选项。

Microsoft 更新目录

是

若要获取此更新的独立包，请转到 Microsoft 更新目录网站。

Windows Server Update Services (WSUS)

是

如果你按以下方式配置“产品和分类”，此更新将自动与 WSUS 同步：

产品：Windows 7 Service Pack 1、Windows Server 2008 R2 Service Pack 1、Windows Embedded Standard 7 Service Pack 1、Windows Embedded POSReady 7

分类：安全更新