原始發布日期: 2025 年 10 月 21 日
KB 編號:5070568
症狀
您可能會在具有重複 安全 ID (SID)的裝置上遇到 Kerberos 和 NTLM) 驗證失敗 (NTLM 。 在安裝 Windows 11 版本 24H2、Windows 11 版本 25H2 和 Windows Server 2025 中,安裝之後發行的 Windows 更新之後,可能會發生此問題:
這些身份驗證失敗可能表現為各種症狀,包括:
-
系統會重複提示使用者輸入認證。
-
具有有效認證的存取請求會失敗,並顯示畫面上的錯誤,例如:
-
登入嘗試失敗。
-
登入失敗/您的憑證無法運作。
-
電腦 ID 有部分不相符。
-
使用者名稱或密碼不正確。
-
-
無法透過 IP 位址或主機名稱存取共用網路資料夾。
-
無法建立遠端桌面連線,包括遠端桌面通訊協定 (透過 Privileged Access Management (PAM) 解決方案或第三方工具啟動的 RDP) 工作階段。
-
容錯移轉叢集 會失敗,並顯示「拒絕存取」錯誤。
-
事件檢視器可能會在 Windows 記錄中顯示下列其中一個錯誤:
-
安全性記錄包含 SEC_E_NO_CREDENTIALS 錯誤。
-
系統記錄包含本機安全性授權單位伺服器服務 (lsasrv.dll) 事件識別碼:6167,訊息文字:
電腦 ID 有部分不相符。 這表示票證已縱或屬於不同的開機會話。
-
原因
2025 年 8 月 29 日及之後發行的 Windows 更新包含新增的安全性保護,可強制檢查 SID,導致裝置具有重複的 SID 時驗證失敗。 此設計變更會封鎖這類裝置之間的驗證交握。 與這些安全性保護相關的失敗驗證要求會由本機安全性授權單位伺服器服務識別 (lsasrv.dll) 系統事件記錄檔中的事件識別碼:6167 。
在不執行 Sysprep 的情況下執行不支援的複製或複製 Windows 安裝時,可能會建立重複的 SID。 在 2025 年 8 月 29 日及之後安裝 Windows 11、24H2 和 25H2 版,以及 Windows Server 2025 上的 OS 複製需要 Sysprep 啟用的 SID 唯一性。
如需詳細資訊,請參閱 Windows 安裝磁碟複製的 Microsoft 原則。
解決方式
若要取得永久解決方案,必須使用支援的方法來重建包含重複 SID 的裝置,以複製 或複製 Windows 安裝 ,讓它們具有唯一的 SID。
IT 管理員可以透過安裝和設定特殊的群組原則來暫時解決此問題。 若要取得此特殊群組原則,請連絡 Microsoft 的商務支援服務。
