微软正在调查一个新的已知问题,该问题导致企业域控制器在安装本月补丁星期二发布的累积更新后遇到 Kerberos 登录失败和其他身份验证问题。
Kerberos 已将 NTLM 协议替换为 Windows 2000 以上所有 Windows 版本上域连接设备的默认身份验证协议。
Redmond 正在调查的已知问题可能会影响受影响企业环境中的任何 Kerberos 身份验证方案。
“在具有域控制器角色的 Windows 服务器上安装 2022 年 11 月 8 日或之后发布的更新后,您可能会遇到 Kerberos 身份验证问题,”微软解释说。
“遇到此问题时,您可能会在域控制器上的事件日志的系统部分收到 Microsoft-Windows-Kerberos-Key-Distribution-Center 事件 ID 14 错误事件,并带有以下文本。”
受影响系统上的系统事件日志中记录的错误将被标记为“缺少的密钥的 ID 为 1”的关键词。
“在处理目标服务 <service> 的 AS 请求时,帐户 <account name> 没有合适的密钥来生成 Kerberos 票证(缺少的密钥的 ID 为 1),”记录的错误读取。
Kerberos 身份验证方案列表包括但不限于以下内容:
- 域用户登录可能会失败。这也可能会影响 Active Directory 联合身份验证服务 (AD FS) 身份验证。
- 用于 Internet 信息服务 (IIS Web 服务器)等服务的组托管服务帐户 (gMSA ) 可能无法通过身份验证。
- 使用域用户的远程桌面连接可能无法连接。
- 您可能无法访问工作站上的共享文件夹和服务器上的文件共享。
- 需要域用户身份验证的打印可能会失败。
影响客户端和服务器平台
受影响平台的完整列表包括客户端和服务器版本:
- 客户端:Windows 7 SP1、Windows 8.1、Windows 10 Enterprise LTSC 2019、Windows 10 Enterprise LTSC 2016、Windows 10 Enterprise 2015 LTSB、Windows 10 20H2 或更高版本、Windows 11 21H2 或更高版本
- 服务器:Windows Server 2008 SP2 或更高版本,包括最新版本 Windows Server 2022。
虽然微软 已从 2022 年 11 月补丁星期二开始对 Netlogon 和 Kerberos实施安全强化 ,但该公司表示,这个已知问题并非预期结果。
此问题不会影响家庭客户使用的设备以及未在本地域中注册的设备。此外,它不会影响混合型 Azure Active Directory 环境以及没有本地 Active Directory 服务器的环境。
Microsoft 正在努力解决此已知问题,并估计将在未来几周内提供解决方案。
Redmond 还解决 了由 作为 2020 年 11 月补丁星期二的一部分发布的安全更新引起的 影响 Windows 系统的类似 Kerberos 身份验证问题。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 11月更新后Windows Kerberos身份验证中断
