微软周日(11/14)紧急修补了涉及自Windows Server 2008至Windows Server 2019所有版本的bug,该bug可能导致域名控制站(Domain Controllers)的验证失败。
根据微软的解释,该验证失败源自于通过S4u2self所取得的Kerberos票证(Kerberos Tickets),被用来作为转换协议的证据票证,并委派给签名验证失败的后端服务。因此,在依赖前端服务替用户取得Kerberos票证以访问后端服务的Kerberos委派场景中,Kerberos验证将会失败。
若是由客户端提供前端服务与证据票证的Kerberos委派场景并不会受到影响,纯粹的Azure Active Directory环境也未受到波及。不过,若是在内部部署的Active Directory或是混合的Azure Active Directory环境中,用户可能无法通过单一登录(SSO)来登录各式服务。
该bug是微软在11月9日部署Patch Tuesday安全更新之后才出现的,将影响执行Windows Server的域名控制站。
此次微软发布的KB5008602属于累计更新,因此在安装前不需先套用任何先前的更新,它并不会自动安装,用户可手动将该更新导入Windows Server Update Services中。