Последнее обновление 02.01.2023 — QGames
Корпорация Майкрософт выпустила внеполосные обновления для устранения сбоев проверки подлинности, связанных со сценариями делегирования Kerberos, влияющими на контроллеры домена (DC), работающие под управлением поддерживаемых версий Windows Server.
В затронутых системах конечные пользователи не могут входить в службы или приложения с помощью единого входа (SSO) в локальной или гибридной среде Azure Active Directory.
Эти проблемы затрагивают системы под управлением Windows Server 2019 и более ранних версий, включая Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1 и Windows Server 2008 SP2.
Экстренные обновления устраняют «известную проблему, которая может вызвать сбои аутентификации, связанные с билетами Kerberos, которые вы приобрели у службы для пользователя для себя (S4U2self)», — говорится в объявлении Microsoft в воскресенье.
«Эта проблема возникает после установки обновлений безопасности от 9 ноября 2021 г. на контроллеры домена (DC), работающие под управлением Windows Server».
Полный список дополнительных обновлений, выпущенных Microsoft за выходные, включает:
- Windows Server 2019: KB5008602
- Windows Server 2016: KB5008601
- Windows Server 2012 R2: KB5008603
- Windows Server 2012: KB5008604
- Windows Server 2008 R2 SP1: KB5008605
- Windows Server 2008 SP2: KB5008606
Как развернуть обновления OOB
Вы не сможете установить эти экстренные обновления через Центр обновления Windows, и они также не будут установлены автоматически на затронутых контроллерах домена.
Чтобы загрузить автономный пакет обновлений, вам нужно будет найти их в каталоге Центра обновления Майкрософт (вы также можете использовать ссылки для загрузки, доступные выше).
Вы можете импортировать это обновление в службы Windows Server Update Services (WSUS) вручную, используя инструкции, доступные в каталоге Центра обновления Майкрософт .
В четверг, когда Microsoft подтвердила эти проблемы, компания заявила, что пользователи могут увидеть одну или несколько из следующих ошибок в затронутых системах:
- Средство просмотра событий может отображать событие 18 Microsoft-Windows-Kerberos-Key-Distribution-Center, зарегистрированное в журнале системных событий.
- Ошибка 0x8009030c с текстовым прокси-сервером веб-приложения обнаружена непредвиденная информация регистрируется в журнале событий прокси-сервера приложения Azure AD в событии 12027 соединителя прокси-сервера приложения Microsoft-AAD
- Сетевые трассировки содержат следующую сигнатуру, подобную следующей:
- 7281 24:44 (644) 10.11.2.12 .contoso.com KerberosV5 KerberosV5: Область запроса TGS: CONTOSO.COM Sname: http / xxxxx-xxx.contoso.com
- 7282 7290 (0). CONTOSO.COM
