微軟緊急更新修復了Windows Server身份驗證問題！

　　Microsoft 已發(fā)布帶外更新，以解決與影響域控制器 （DC） 運行受支持版本的 Windows Server 的 Kerberos 委派方案相關(guān)的身份驗證失敗。

　　在受影響的系統(tǒng)上，最終用戶無法 在本地 Active Directory 或混合 Azure Active Directory 環(huán)境中使用單一登錄 （SSO） 登錄服務或應用程序 。

　　這些問題會影響運行 Windows Server 2019 及更低版本的系統(tǒng)，包括 Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2 SP1 和 Windows Server 2008 SP2。

　　緊急更新解決了“一個已知問題，該問題可能導致與您從 Service for User to Self （S4U2self） 獲取的 Kerberos 票證相關(guān)的身份驗證失敗”，微軟在周日的公告中解釋道。

　　“在運行 Windows Server 的域控制器 （DC） 上安裝 2021 年 11 月 9 日的安全更新后，會出現(xiàn)此問題。”

　　微軟周末發(fā)布的帶外更新的完整列表包括：

　　Windows Server 2019：KB5008602

　　Windows Server 2016：KB5008601

　　Windows Server 2012 R2：KB5008603

　　Windows Server 2012：KB5008604

　　Windows Server 2008 R2 SP1：KB5008605

　　Windows Server 2008 SP2：KB5008606

　　如何部署 OOB 更新

　　您將無法通過 Windows 更新安裝這些緊急更新，并且它們也不會自動安裝在受影響的 DC 上。

　　要下載獨立更新包，您必須在 Microsoft 更新目錄中搜索它們（您也可以使用上面提供的下載鏈接）。

　　您可以使用Microsoft Update Catalog 中提供的說明手動將此更新導入 Windows Server Update Services （WSUS） 。

　　周四，當微軟確認這些問題時，該公司表示用戶可能會在受影響的系統(tǒng)上看到以下一個或多個錯誤：

　　事件查看器可能會顯示系統(tǒng)事件日志中記錄的Microsoft-Windows-Kerberos-Key-Distribution-Center事件 18

　　錯誤 0x8009030c 和文本 Web 應用程序代理遇到意外記錄在 Azure AD 應用程序代理事件日志中 Microsoft-AAD 應用程序代理連接器事件 12027

　　網(wǎng)絡(luò)跟蹤包含類似于以下內(nèi)容的以下簽名：

　　7281 24:44 （644） 10.11.2.12 .contoso.com KerberosV5 KerberosV5:TGS 請求領(lǐng)域：CONTOSO.COM Sname：http/xxxxx-xxx.contoso.com

　　7282 7290 （0）.CONTOSO.COM