KB5014987：在运行 Windows Server 2008 R2 SP1 的域控制器上安装 2022 年 5 月 10 日更新后发生身份验证失败

摘要

此更新包括以下问题的改进：

• 解决了在域控制器上安装 2022 年 5 月 10 日更新后，服务器或客户端上某些服务可能会导致身份验证失败的已知问题。 这些服务包括网络策略服务器 (NPS)、路由和远程访问服务 (RRAS)、Radius、可扩展身份验证协议 (EAP)，以及受保护的可扩展身份验证协议 (PEAP)。 此问题会影响域控制器管理证书与计算机帐户的映射的方式。 此问题仅影响用作域控制器的服务器和向域控制器进行身份验证的中间应用程序服务器;它不会影响客户端Windows设备。

此更新中的已知问题

我们目前并不知道任何影响此更新的问题。

如何获取此更新

在安装此更新之前

若要安装 2019 年 7 月或之后发布的 Windows Server 2008 R2 SP1 更新，必须安装以下必需的更新。

• 安装 SHA-2 代码签名支持更新：
  
  必须安装 2019 年 9 月 23 日或更高版本的 SHA-2 更新 (KB4474419) ，然后在应用此更新之前重启设备。 有关 SHA-2 更新的更多信息，请参阅针对 Windows 和 WSUS 的 2019 SHA-2 代码签名支持要求。
  
  必须已安装服务堆栈更新 (SSU) (KB4490628) 日期为 2019 年 3 月 12 日。 更新 KB4490628 安装完成后，我们建议安装最新的 SSU 更新。 有关 Windows Server 2008 R2 SP1 的最新 SSU 更新的详细信息，请参阅 ADV990001 |最新的服务堆栈更新。

• 安装扩展安全更新 (ESU) ：
  
  必须已安装“扩展安全更新 (ESU) 许可准备包” (KB4538483) 或“扩展安全更新 (ESU) 许可准备包的更新” (KB4575903) 。 将使用 WSUS 提供 ESU 许可准备程序包。 若要获取 ESU 许可准备程序包的独立程序包，请在 Microsoft 更新目录中进行搜索。
  
  必须已为这些操作系统的本地版本购买了扩展安全更新 (ESU) ，并按照 KB4522133 中的程序在扩展支持结束后继续接收安全更新。 对 Windows Server 2008 R2 SP1 的扩展支持已于 2020 年 1 月 14 日结束。

每月汇总更新是累积的，包括安全性和所有质量更新。 如果使用每月汇总更新，则必须安装此更新和 2022 年 5 月 10 日发布的每月汇总，以接收 2022 年 5 月的质量更新。 如果已安装 2022 年 5 月 10 日发布的更新，则无需在安装任何后续更新（包括此更新）之前卸载受影响的更新。

如果对Windows服务器使用仅限安全的更新，则只需在 2022 年 5 月安装此更新。 仅限安全的更新不是累积的，你还必须安装所有以前的仅限安全的更新才能完全更新最新。

获取此更新

重要说明 在向域控制器进行身份验证的所有域控制器和中间应用程序服务器上安装此更新。 中间应用程序服务器包括网络策略服务器 (NPS) 、RADIUS、证书颁发机构 (CA) 和 Web 服务器。

备注 安装此更新后，如果为此问题使用了任何解决方法或缓解措施，则不再需要它们，建议将其删除。 这包括删除注册表项 (CertificateMappingMethods = 0x1F) 记录在 KB5014754 的 SChannel 注册表项部分中。 客户端无需执行任何操作即可解决此身份验证问题。

文件信息

有关此更新中提供的文件列表，请下载 更新 KB5014987 的文件信息。

参考

有关 ESU 以及支持哪些版本的详细信息，请参阅 KB4497181。

了解用于描述 Microsoft 软件更新的标准术语。