Microsoft 修复了紧急更新中的 Windows Kerberos 身份验证问题

Microsoft 已发布可选的带外 （OOB） 更新，以修复在安装 11 月补丁星期二期间发布的累积更新后触发企业 Windows 域控制器上的 Kerberos 登录失败和其他身份验证问题的已知问题。
该公司承认并于周一开始调查，当时它还表示已知问题可能会影响受影响企业环境中的任何Kerberos身份验证方案。
虽然微软也从 2022 年 11 月的补丁星期二开始对 Kerberos 和 Netlogon 实施安全强化，但它表示这些身份验证问题不是预期的结果。
受影响的 Windows 版本的身份验证问题
“在具有域控制器角色的 Windows 服务器上安装 2022 年 11 月 8 日或更高版本发布的更新后，您可能会遇到 Kerberos 身份验证问题，”Microsoft 解释说。
“遇到此问题时，您可能会在域控制器上的事件日志的”系统“部分中收到 Microsoft-Windows-Kerberos-Key-Distribution-Center 事件 ID 14 错误事件，并带有以下文本。”
受影响的 Kerberos 身份验证方案列表包括但不限于以下内容：
域用户登录可能会失败。这也可能会影响 Active Directory 联合身份验证服务 （AD FS） 身份验证。
用于 Internet 信息服务 （IIS Web 服务器） 等服务的组托管服务帐户 （gMSA） 可能无法进行身份验证。
使用域用户的远程桌面连接可能无法连接。
您可能无法访问工作站上的共享文件夹和服务器上的文件共享。
需要域用户身份验证的打印可能会失败。
针对受影响的 Windows 版本发布的修复
今天，微软发布了OOB紧急更新，Windows管理员必须在受影响环境中的所有域控制器（DC）上安装这些更新。
“您无需安装任何更新或对环境中的其他服务器或客户端设备进行任何更改即可解决此问题，”微软表示。
“如果您针对此问题使用了任何解决方法或缓解措施，则不再需要它们，我们建议您删除它们。”
今天发布的OOB更新只能通过Microsoft Update Catalog提供，不会通过Windows Update提供。
Redmond 已发布用于在域控制器上安装的累积更新（客户端无需执行任何操作）：
Windows Server 2022: KB5021656
Windows Server 2019: KB5021655
Windows Server 2016: KB5021654
微软还发布了可以导入Windows Server Update Services（WSUS）和Microsoft Endpoint Configuration Manager的独立更新：
Windows Server 2012 R2: KB5021653
Windows Server 2012: KB5021652
Windows Server 2008 SP2: KB5021657
唯一仍在等待修复的受影响平台是Windows Server 2008 R2 SP1。雷德蒙德说，下周将提供专门的更新。
你可以在 WSUS 上找到详细的 WSUS 部署说明，在“从 Microsoft 更新目录导入更新”页上找到目录站点和配置管理器说明。
“如果您对这些版本的 Windows Server 使用仅安全更新，则只需在 2022 年 11 月安装这些独立更新，”微软补充说。
“如果您使用的是每月汇总更新，则需要安装上面列出的独立更新来解决此问题，并安装 2022 年 11 月 8 日发布的月度汇总以接收 2022 年 11 月的质量更新。”
两年前，Redmond 解决了由 2020 年 11 月补丁星期二发布的安全更新引起的影响 Windows 系统的类似 Kerberos 身份验证问题。