Microsoft публикува актуализации за отстраняване на грешки при удостоверяване, свързани с Kerberos, засягащи домейн контролерите (DC), работещи с поддържаните от Windows Server версии.
Засегнатите крайните потребители не могат да влязат в услуги или приложения, използвайки единичен вход (SSO) на локални Active Directory или хибридни среди на Azure Active Directory.
Тези проблеми засягат системи, работещи с Windows Server 2019 и по-стари версии, включително Windows Server 2016, Windows Server 2012 R2.
Спешните актуализации отстраняват проблем, който може да причини неуспехи при удостоверяване, свързани с Kerberos, които са придобити от Service for User to Self (S4U2self), обяснява Microsoft в свое съобщение.
Този проблем възникна след инсталиране на актуализациите за сигурност от 9 ноември 2021 г. на домейн контролерите (DC), които работят под Windows Server, Windows Server 2012, Windows Server 2008 R2 SP1 и Windows Server 2008 SP2.
Пълният списък с актуализации, публикуван от Microsoft, включва:
- Windows Server 2019: KB5008602 — DOWNLOAD
- Windows Server 2016: KB5008601 — DOWNLOAD
- Windows Server 2012 R2: KB5008603 — DOWNLOAD
- Windows Server 2012: KB5008604 — DOWNLOAD
- Windows Server 2008 R2 SP1: KB5008605 — DOWNLOAD
- Windows Server 2008 SP2: KB5008606 — DOWNLOAD
Спешните актуализации няма да може да се инсталират чрез Windows Update, също така и автоматично.
Самостоятелния пакет за актуализация, трябва да потърсите в каталога на Microsoft (може да се използват и връзките за изтегляне, налични по-горе).
Актуализацията може да я импортирате в Windows Server Update Services (WSUS) ръчно, като използвате инструкциите, налични в каталога на Microsoft Update Catalog.
Когато Microsoft потвърди тези проблеми, компанията заяви, че потребителите може да видят следните грешки на засегнатите системи:
- Event Viewer might show Microsoft-Windows-Kerberos-Key-Distribution-Center event 18 logged in the System event log
- Error 0x8009030c with text Web Application Proxy encountered an unexpected is logged in the Azure AD Application Proxy event log in Microsoft-AAD Application Proxy Connector event 12027
- Network traces contain the following signature similar to the following:
- 7281 24:44 (644) 10.11.2.12 .contoso.com KerberosV5 KerberosV5:TGS Request Realm: CONTOSO.COM Sname: http/xxxxx-xxx.contoso.com
- 7282 7290 (0) . CONTOSO.COM
More information: