MicrosoftがWindows ServerのKerberos認証問題を修正する緊急アップデートを配信開始

Microsoftが11月18日、11月の月例更新プログラムをインストール後に発生していた、Windows ServerのドメインコントローラでKerberosの認証問題を引き起こす不具合を修正するために、帯域外（OOB）の緊急アップデートをオプションで配信開始しました。

Microsoftは、2022年11月の月例更新プログラムからKerberosとNetlogonのセキュリティ強化に着手していますが、これらの認証問題は予想外の結果であると述べています。

なお、リリースされたOOBアップデートは、Microsoft Update Catalog経由でのみ利用可能となっており、Windows Update経由では提供されない点にはご注意ください。

一般的にWindows Server向けの更新であり、Windows 10やWindows 11ユーザーは特に対処する必要はないようです。

不具合の概要
定例外の累積更新プログラムの配信について
影響を受けるプラットフォーム

不具合の概要

2022年11月8日以降にリリースされた更新プログラムをドメインコントローラーの役割を持つ Windows サーバーにインストールすると、Kerberos 認証で問題が発生する場合があります。この問題は、環境内のすべての Kerberos 認証に影響を与える可能性があります。

影響を受ける可能性のあるいくつかのシナリオは以下の通り。

ドメインユーザーのサインインが失敗する場合があります。これは、Active Directory フェデレーションサービス (AD FS) 認証にも影響する可能性があります。
インターネットインフォメーションサービス（IIS Web Server）などのサービスに使用されるグループ管理サービスアカウント（gMSA）が認証に失敗する場合があります。
ドメインユーザーがリモートデスクトップ接続を利用する場合、失敗することがあります。
ワークステーションの共有フォルダーやサーバーのファイル共有にアクセスできない場合があります。
ドメインユーザー認証が必要な印刷に失敗する場合があります。

この問題が発生すると、ドメインコントローラーのイベントログのシステムセクションに、以下の文言でMicrosoft-Windows-Kerberos-Key-Distribution-Center Event ID 14エラーイベントが表示されることがあります。
注：該当するイベントには「the missing key has an ID of 1」と表示されます。

While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key.

注：この問題は、2022年11月のセキュリティ更新プログラムから開始される Netlogon および Kerberos のセキュリティ強化の一部として予想されるものではありません。この問題が解決された後も、これらの記事に記載されているガイダンスに従う必要があります。

消費者が自宅で使用するWindowsデバイスや、オンプレミスドメインに属さないデバイスは、この問題の影響を受けません。ハイブリッド環境でなく、オンプレミスActive Directoryサーバーを持たないAzure Active Directory環境は、この問題の影響を受けません。

定例外の累積更新プログラムの配信について

今回提供されている定例外の累積更新プログラムは以下の通りです。今回のアップデートはMicrosoft Update Catalog経由でのみ利用可能となっており、Windows Update経由では提供されない点にはご注意ください。

【累積更新プログラム】

Windows Server 2022：November 17, 2022-KB5021656（OS Build 20348.1251） Out-of-band – Microsoft サポート
Windows Server 2019：2022年11月17日 – KB5021655（OS ビルド 17763.3653）帯域外 – Microsoft サポート
Windows Server 2016：2022年11月17日 – KB5021654（OS ビルド 14393.5502）帯域外 – Microsoft サポート

【スタンドアロンアップデート】

Windows Server 2012 R2：KB5021653: Windows Server 2012 R2 の帯域外更新プログラム:2022年11月17日 – Microsoft サポート
Windows Server 2012：KB5021652: Windows Server 2012の帯域外更新プログラム:2022年11月17日 – Microsoft サポート
Windows Server 2008 SP2：KB5021657: Windows Server 2008 SP2 の帯域外更新プログラム:2022年11月17日 – Microsoft サポート

影響を受けるプラットフォーム

Client: Windows 11, version 22H2; Windows 10, version 22H2; Windows 11, version 21H2; Windows 10, version 21H2; Windows 10, version 21H1; Windows 10, version 20H2; Windows 10 Enterprise LTSC 2019; Windows 10 Enterprise LTSC 2016; Windows 10 Enterprise 2015 LTSB; Windows 8.1; Windows 7 SP1
Server: Windows Server 2022; Windows Server 2019; Windows Server 2016; Windows Server 2012 R2; Windows Server 2012; Windows Server 2008 R2 SP1; Windows Server 2008 SP2