Microsoftは、サポートされているバージョンのWindows Serverを実行しているドメインコントローラ(DC)に影響を与えるKerberos委任シナリオに関連する認証の失敗に対処するための緊急のアップデートをリリースしました。
影響を受けるシステムでは、エンドユーザーがオンプレミスのActive DirectoryまたはハイブリッドAzure Active Directory環境でシングルサインオン(SSO)を使用してサービスやアプリケーションにサインインできません。
これらの問題は、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2 SP1、およびWindows Server 2008 SP2を含む、Windows Server 2019およびそれ以下のバージョンを実行しているシステムが対象となっています。
この緊急アップデートは、「Service for User to Self(S4U2self)から取得したKerberosチケットに関連する認証失敗を引き起こす可能性がある既知の問題」に対処するものであると、Microsoftの発表で説明されています。
この問題は、Windows Serverを実行しているドメインコントローラ(DC)に2021年11月9日のセキュリティ更新プログラムをインストールした後に発生します。
Microsoftが公開した緊急更新プログラムの全リストは以下の通りです。
- Windows Server 2019: KB5008602 — DOWNLOAD
- Windows Server 2016: KB5008601 — DOWNLOAD
- Windows Server 2012 R2: KB5008603 — DOWNLOAD
- Windows Server 2012: KB5008604 — DOWNLOAD
- Windows Server 2008 R2 SP1: KB5008605 — DOWNLOAD
- Windows Server 2008 SP2: KB5008606 — DOWNLOAD
OOBアップデートの導入方法
これらの緊急更新プログラムは、Windows Update を通してインストールすることはできず、影響を受ける DC にも自動的にはインストールされません。
スタンドアロンの更新プログラムパッケージをダウンロードするには、Microsoft Updateカタログで検索する必要があります(上記のダウンロードリンクを使用することもできます)。
この更新プログラムをWindows Server Update Services(WSUS)に手動でインポートするには、Microsoft Update Catalogに掲載されている手順を使用します。
マイクロソフト社がこれらの問題を確認した時には、影響を受けたシステムでユーザーが以下のエラーの1つ以上を目にする可能性があると述べています。
- イベントビューアに、システムイベントログに記録されたMicrosoft-Windows-Kerberos-Key-Distribution-Centerイベント18が表示されることがあります
- Microsoft-AAD Application Proxy Connectorイベント12027で、Azure AD Application Proxyイベントログに「Error 0x8009030c with text Web Application Proxy encountered an unexpected」が記録される
ネットワークトレースには、以下のシグネチャに似たものが含まれています。
7281 24:44 (644) 10.11.2.12 .contoso.com KerberosV5 KerberosV5:TGS Request Realm: CONTOSO.COM Sname: http/xxxxx-xxx.contoso.com
7282 7290 (0) . CONTOSO.COM
Comments