[修正済]11月の累積更新プログラムでドメインユーザーを利用したサインインに失敗、エラーが発生する

Windows
[対策あり]11月の累積更新プログラムでドメインユーザーを利用したサインインに失敗、エラーが発生する

2022年11月8日(現地時間)にリリースされた更新プログラムをドメインコントローラーにインストールすると、Kerberos認証に関連するサインイン(ドメイン ユーザーを利用したサインインや、リモートデスクトップ接続)に失敗する場合があります。

この不具合は既知の問題としてMicrosoftに認識されています。

(2022/11/18更新)この不具合を修正する更新プログラムがリリースされました

この不具合を修正する更新プログラムがリリース

アーザスBlog
 
https://a-zs.net/202211-kerberos-signin-shusei
2022.11.18
[Windows Server]MicrosoftがサインインとKerberos認証の問題を修正する定例外更新...
2022年11月17日(現地時間)、MicrosoftはWindows ServerのサインインとKerberos認証の問題を修正する更新プログラムを定例外でリリースしました。この不具合の影響を受けると、ドメインコントローラーでKerberos認証に関連するサインイン(ドメイン ユーザーを利用したサインインや、リモートデスクトップ接続)に失敗する場合があります。(2022/11/30更新)11月の累積更新プログラム、定例外リリースで既知の不具合が確認(2022/11/21更新)Windows Server 2008 R2 SP1用の更新プログラムがリリースされました11月の累積更新プログラム、定...

情報ソース

Windows 11, version 22H2 known issues and notifications _ Microsoft Learn

不具合が確認された累積更新プログラム

アーザスBlog
 
https://a-zs.net/windowsupdate-202211-b
2022.11.09
[Windows 10・11/Server]2022年11月累積更新プログラム公開!KB5019980、KB5019959...
2022年11月8日(現地時間)、MicrosoftからWindowsの2022年11月の累積更新プログラム(セキュリティ更新プログラム・月例パッチ・「B」リリース・Patch Tuesday・.NET Framework)が公開されました。Windows 11 22H2「KB5019980」、Windows 11 21H2「KB5019961」、Windows 10 22H2/21H2/21H1「KB5019959」、Windows Server 2022「KB5019081」、Windows Server 2019「KB5019966」、Windows Server 2016「KB5019964」、Windows Server 2012 R2「KB5020023」、Windows Server 2012「KB5020009」などが含まれています。解決したCriticalな脆...

対象OS

※オンプレミス環境のドメインコントローラーのみが不具合の対象です。

完全なクラウド環境はこの不具合の影響を受けません。

クライアント

  • Windows 11 Version 21H2/22H2
  • Windows 10, Version 21H1/21H2/22H2
  • Windows 10 version 20H2
  • Windows 10 Enterprise LTSC 2019
  • Windows 10 Enterprise LTSC 2016
  • Windows 10 Enterprise 2015 LTSB
  • Windows 8.1
  • Windows 7 SP1

サーバー

  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2 SP1
  • Windows Server 2008 SP2

症状

症状

2022年11月8日にリリースされた更新プログラムをドメインコントローラーにインストールすると、Kerberos認証で不具合が発生する場合があります。

この不具合はMicrosoftに既知の問題として認識されており、具体的には以下のような不具合が発生する場合があります。

  • ドメイン ユーザーのサインインが失敗する(AD FS認証にも影響する可能性があります)
  • グループ管理サービスアカウント(gMSA)が認証に失敗する
  • ドメイン ユーザーを使用したリモートデスクトップ接続に失敗する
  • ワークステーションの共有フォルダーやサーバーのファイル共有にアクセスできない
  • ドメインユーザー認証が必要な印刷に失敗する

イベントログ

また、この問題が発生すると、ドメインコントローラーのイベントログのシステムセクションに「Microsoft-Windows-Kerberos-Key-Distribution-Center イベントID:14 エラー」が表示される場合があります。

While processing an AS request for target service , the account did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes: 23 18 17. Changing or resetting the password of will generate a proper key.
(ターゲット サービス <サービス> の AS 要求を処理しているときに、アカウント <アカウント名> には Kerberos チケットを生成するための適切なキーがありませんでした (欠落しているキーの ID は 1 です)。要求された etypes: 18 3. 利用可能なアカウント etypes: 23 18 17. <アカウント名> のパスワードを変更またはリセットすると、適切なキーが生成されます。)

影響を受けるイベントには、「不足しているキーのIDは1です」と表示されます。

回避策

解決方法

現在Microsoftから具体的な回避策は公開されていません。

Microsoftは解決策に取り組んでおり、今後数週間で解決策が準備できるとのことです。

回避策1

ドメインコントローラーから11月の累積更新プログラムをアンインストールするとこの不具合が解消する場合があります。

※この更新プログラムをアンインストールすると脆弱性・不具合の修正パッチが全て未適用の状態になります。

▼更新プログラムによって修正される脆弱性・不具合についてはこちらを参照して下さい。

アーザスBlog
 
https://a-zs.net/windowsupdate-202211-b
2022.11.09
[Windows 10・11/Server]2022年11月累積更新プログラム公開!KB5019980、KB5019959...
2022年11月8日(現地時間)、MicrosoftからWindowsの2022年11月の累積更新プログラム(セキュリティ更新プログラム・月例パッチ・「B」リリース・Patch Tuesday・.NET Framework)が公開されました。Windows 11 22H2「KB5019980」、Windows 11 21H2「KB5019961」、Windows 10 22H2/21H2/21H1「KB5019959」、Windows Server 2022「KB5019081」、Windows Server 2019「KB5019966」、Windows Server 2016「KB5019964」、Windows Server 2012 R2「KB5020023」、Windows Server 2012「KB5020009」などが含まれています。解決したCriticalな脆...

▼アンインストール方法はこちらの記事を参照して下さい。

アーザスBlog
 
https://a-zs.net/howto-uninstall-kb
2021.03.08
Windows 10/11の更新プログラムをアンインストールする方法
Windows 10の更新プログラムで不具合が発生した場合、更新プログラムをアンインストールすることが直ることがあります。意外に分かりづらい更新プログラムをアンインストールする手順を説明します。Windows 10の更新プログラムをアンインストールする手順▼ボタン > ボタン▼「更新とセキュリティ」▼「更新の履歴を表示する」▼「更新プログラムをアンインストールする」▼更新プログラムの一覧からアンインストールする更新プログラムを探す▼アンインストールする更新プログラムを右クリック > これでアンインストールされます。場合に...

回避策2

Redditのユーザーによると、ドメインコントローラーに以下のレジストリを追加することで不具合を解消できたとのこと。

※レジストリを操作する場合は必ずIT部門に相談して下さい

回避策は、すべてのドメインコントローラーに以下のレジストリキーを追加することです。

ドメインコントローラーのkdcトレースを見た後、最終的に問題を解決したのは3番目のREGキーでした。

reg add "HKLM\SYSTEM\CurrentControlSet\services\kdc" /v KrbtgtFullPacSignature /t REG_DWORD /d 0 /f

reg add "HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters" /v RequireSeal /t REG_DWORD /d 0 /f

reg add "HKLM\SYSTEM\CurrentControlSet\services\kdc" /v ApplyDefaultDomainPolicy /t REG_DWORD /d 0 /f
Patch Tuesday Megathread (2022-11-08) _ sysadmin

MECM(SCCM)を使えば更新プログラム適用がもっと効率的に!

毎月リリースされる更新プログラムの適用をもっと効率化しませんか?

MECMの機能を使えば、1万台もの大量のPCにも同時に更新プログラムを配布、適用させることが可能です。弊社アーザスではMECMの構築から運用までサポートしています。お気軽にご相談下さい!