[修正済]11月の累積更新プログラムでドメインユーザーを利用したサインインに失敗、エラーが発生する

Windows
[対策あり]11月の累積更新プログラムでドメインユーザーを利用したサインインに失敗、エラーが発生する

2022年11月8日(現地時間)にリリースされた更新プログラムをドメインコントローラーにインストールすると、Kerberos認証に関連するサインイン(ドメイン ユーザーを利用したサインインや、リモートデスクトップ接続)に失敗する場合があります。

この不具合は既知の問題としてMicrosoftに認識されています。

(2022/11/18更新)この不具合を修正する更新プログラムがリリースされました

この不具合を修正する更新プログラムがリリース

情報ソース

不具合が確認された累積更新プログラム

対象OS

※オンプレミス環境のドメインコントローラーのみが不具合の対象です。

完全なクラウド環境はこの不具合の影響を受けません。

クライアント

  • Windows 11 Version 21H2/22H2
  • Windows 10, Version 21H1/21H2/22H2
  • Windows 10 version 20H2
  • Windows 10 Enterprise LTSC 2019
  • Windows 10 Enterprise LTSC 2016
  • Windows 10 Enterprise 2015 LTSB
  • Windows 8.1
  • Windows 7 SP1

サーバー

  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2 SP1
  • Windows Server 2008 SP2

症状

症状

2022年11月8日にリリースされた更新プログラムをドメインコントローラーにインストールすると、Kerberos認証で不具合が発生する場合があります。

この不具合はMicrosoftに既知の問題として認識されており、具体的には以下のような不具合が発生する場合があります。

  • ドメイン ユーザーのサインインが失敗する(AD FS認証にも影響する可能性があります)
  • グループ管理サービスアカウント(gMSA)が認証に失敗する
  • ドメイン ユーザーを使用したリモートデスクトップ接続に失敗する
  • ワークステーションの共有フォルダーやサーバーのファイル共有にアクセスできない
  • ドメインユーザー認証が必要な印刷に失敗する

イベントログ

また、この問題が発生すると、ドメインコントローラーのイベントログのシステムセクションに「Microsoft-Windows-Kerberos-Key-Distribution-Center イベントID:14 エラー」が表示される場合があります。

While processing an AS request for target service , the account did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes: 23 18 17. Changing or resetting the password of will generate a proper key.
(ターゲット サービス <サービス> の AS 要求を処理しているときに、アカウント <アカウント名> には Kerberos チケットを生成するための適切なキーがありませんでした (欠落しているキーの ID は 1 です)。要求された etypes: 18 3. 利用可能なアカウント etypes: 23 18 17. <アカウント名> のパスワードを変更またはリセットすると、適切なキーが生成されます。)

影響を受けるイベントには、「不足しているキーのIDは1です」と表示されます。

回避策

解決方法

現在Microsoftから具体的な回避策は公開されていません。

Microsoftは解決策に取り組んでおり、今後数週間で解決策が準備できるとのことです。

回避策1

ドメインコントローラーから11月の累積更新プログラムをアンインストールするとこの不具合が解消する場合があります。

※この更新プログラムをアンインストールすると脆弱性・不具合の修正パッチが全て未適用の状態になります。

▼更新プログラムによって修正される脆弱性・不具合についてはこちらを参照して下さい。

▼アンインストール方法はこちらの記事を参照して下さい。

回避策2

Redditのユーザーによると、ドメインコントローラーに以下のレジストリを追加することで不具合を解消できたとのこと。

※レジストリを操作する場合は必ずIT部門に相談して下さい

回避策は、すべてのドメインコントローラーに以下のレジストリキーを追加することです。

ドメインコントローラーのkdcトレースを見た後、最終的に問題を解決したのは3番目のREGキーでした。

reg add "HKLM\SYSTEM\CurrentControlSet\services\kdc" /v KrbtgtFullPacSignature /t REG_DWORD /d 0 /f

reg add "HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters" /v RequireSeal /t REG_DWORD /d 0 /f

reg add "HKLM\SYSTEM\CurrentControlSet\services\kdc" /v ApplyDefaultDomainPolicy /t REG_DWORD /d 0 /f

MECM(SCCM)を使えば更新プログラム適用がもっと効率的に!

毎月リリースされる更新プログラムの適用をもっと効率化しませんか?

MECMの機能を使えば、1万台もの大量のPCにも同時に更新プログラムを配布、適用させることが可能です。弊社アーザスではMECMの構築から運用までサポートしています。お気軽にご相談下さい!