五月更新導致Windows域控制器認證失敗
在本月補丁星期二更新發布之後,微軟發出警告:安裝KB5013943 更新可能導致各種Windows 服務的認證問題。該更新於5 月10 日發布,主要修復安全模式下的屏幕閃爍問題。但是,除了給一些用戶帶來錯誤信息外,KB5013943 更新還導致了Windows 域控制器的認證失敗。
在關於這個問題的諮詢中,微軟說:“在你的域控制器上安裝2022 年5 月10 日發布的更新後,你可能會在服務器或客戶端看到網絡策略服務器(NPS)、路由和遠程訪問服務(RRAS)、Radius、可擴展認證協議(EAP)和受保護可擴展認證協議(PEAP)等服務的認證失敗。已發現一個與域控制器如何處理證書與機器賬戶的映射有關的問題”。
該公司指出,這個問題只影響到安裝2022年5月10日更新並作為域控制器的服務器上。任何在客戶端Windows設備和非域控制器Windows 服務器上安裝更新的人應該不會遇到同樣的問題。
微軟分享了受影響平台列表
客戶端:
● Windows 11 Version 21H2
● Windows 10 Version 21H2
● Windows 10 Version 21H1
● Windows 10 Version 20H2
● Windows 10 Version 1909
● Windows 10 Version 1809
● Windows 10 Enterprise LTSC 2019
● Windows 10 Enterprise LTSC 2016
● Windows 10 Version 1607
● Windows 10 Enterprise 2015 LTSB
● Windows 8.1
● Windows 7 SP1
服務器:
● Windows Server 2022
● Windows Server Version 20H2
● Windows Server Version 1909
● Windows Server Version 1809
● Windows Server 2019
● Windows Server 2016
● Windows Server 2012 R2
● Windows Server 2012
● Windows Server 2008 R2 SP1
● Windows Server 2008 SP2
雖然微軟沒有說什麼時候會有一個修復方案,但該公司表示,它“目前正在調查,並將在即將發布的版本中提供一個更新”。
同時,微軟還提供了一個臨時解決方案:
這個問題的首選緩解措施是手動將證書映射到活動目錄中的機器賬戶。有關說明,請見證書映射。注意:對於將證書映射到活動目錄中的用戶或機器賬戶,其說明是相同的。
如果首選的緩解措施在你的環境中不起作用,請參見KB5014754-Windows 域控制器上基於證書的認證變化,了解Schannel 註冊表密鑰部分的其他可能緩解措施。注意:除了首選的緩解措施,任何其他緩解措施都可能降低或禁用安全加固。