По информации Bleeping Computer, майские обновления безопасности для Windows вызывают сбои аутентификации при использовании Active Directory на контроллерах доменов. Microsoft настоятельно не рекомендует их удалять и просит подождать новых патчей для устранения проблемы. Системные администраторы нашли способ обойти ошибки с помощью внесения правок в реестр серверов.
Системные администраторы серверов Windows начали делиться отчетами о сбоях в работе некоторых политик после установки свежих обновлений безопасности. У них возникли сообщения с ошибками «Аутентификация не удалась из-за несоответствия учетных данных пользователя. Либо предоставленное имя пользователя не соответствует существующей учетной записи, либо пароль был неправильным».
Проблема затронула почти все клиентские и серверные платформы, включая сборки Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 Enterprise ESU, Windows Server 2008 R2 Standard ESU, Windows Server 2008 R2 Datacenter ESU, Windows Server 2008 Service Pack 2, Windows Server 2016, все версии Windows Server, включая 20H2, все версии Windows Server 2022 и Windows Server 2019, а также последние доступные выпуски Windows 11.
Некоторые системные администраторы рассказали, что откат системы до установки обновлений KB5013941, KB5014001, KB5014011 и KB5014754 помогает решению проблемы.
Microsoft пояснила, что в курсе проблемы. Ошибка возникает только после установки обновлений на серверах, используемых в качестве контроллеров домена. Обновления безопасности не вызывают данной ошибки при развертывании на клиентских устройствах Windows и серверах Windows, не являющихся контроллерами домена.
«После установки обновлений, выпущенных 10 мая, на ваших контроллерах домена вы можете столкнуться с ошибками аутентификации на сервере или клиенте для таких служб, как сервер политики сети (NPS), служба маршрутизации и удаленного доступа (RRAS), Radius, Extensible Authentication Protocol (EAP) и Protected Extensible Authentication Protocol (PEAP)», — поясняет Microsoft. В компании рассказали, что занимаются устранением проблемы, которая связана с тем, как контроллер домена обрабатывает сопоставление сертификатов с учетными записями компьютеров.
Microsoft советует в качестве способа устранения проблемы до выхода патча вручную сопоставлять сертификаты с учетной записью компьютера в Active Directory в разделе реестра с ключом SChannel.
Microsoft раскрыла, что обновления за май автоматически устанавливают ключ реестра StrongCertificateBindingEnforcement с нужным параметром для устранения критических уязвимостей CVE-2022-26931 и CVE-2022-26923 для проверки надежного сопоставления сертификатов.
Системные администраторы нашли способ обойти данную ошибку с помощью внесения правок в реестр серверов. Они выяснили, что единственный способ заставить некоторых пользователей войти в систему с установленными обновлениями, заключаяется в деактивировании ключа реестра StrongCertificateBindingEnforcement. Нужно поменять его значение на 0. В случае отсутствия этого ключа его нужно создать с нулевым значением и перезагрузить систему.