微软“更新事故”导致Kerberos登陆失败
据BleepingComputer报道,微软正在调查影响范围极大的一次更新事故,该问题会导致企业域控制器在安装补丁更新后遇到Kerberos登录失败和其他身份验证问题。
在11月的星期二更新中,微软试图对Netlogon和Kerberos实施安全强化,但显然制造了非预期的麻烦。
由于在Windows 2000以上的所有Windows版本中,Kerberos已取代NTLM协议作为域连接设备的默认身份验证协议。因此,几乎所有企业环境中的Kerberos身份验证方案都可能受该问题影响。
Kerberos身份验证失败导致的问题列表如下:
- 域用户登录可能会失败。这也可能会影响Active Directory联合身份验证服务(AD FS)身份验证。
- 用于互联网信息服务(IIS Web服务器)等服务的组托管服务帐户(gMSA)可能无法通过身份验证。
- 使用域用户的远程桌面连接可能无法连接。
- 您可能无法访问工作站上的共享文件夹和服务器上的文件共享。
- 需要域用户身份验证的打印可能会失败。
受影响的客户端和服务器版本
受影响的客户端和服务器版本完整列表包括:
- 客户端:Windows 7 SP1、Windows 8.1、Windows 10 Enterprise LTSC 2019、Windows 10 Enterprise LTSC 2016、Windows 10 Enterprise 2015 LTSB、Windows 10 20H2或更高版本以及Windows 11 21H2或更高版本。
- 服务器:Windows Server 2008 SP2或更高版本,包括最新版本Windows Server 2022。
该问题不会影响家庭客户和未在本地域中注册的客户设备。此外,它不会影响mom-hybrid Azure Active Directory环境和那些没有本地Active Directory服务器的环境。
微软宣称正在努力修复此已知问题,并估计将在未来几周内提供解决方案。
参考链接:
