ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

Windows10 バージョン20H2へアップデート後、ドメインコントローラのKerberos認証の問題が発生する

Windows10 バージョン20H2へアップデート後、ドメインコントローラのKerberos認証の問題が発生する問題があるようです。その他、アップデートに伴い、個人ストアの証明書が消えるという事象もあり、アップデートによる問題が大きいので、企業では、アップデートは不具合が解消するまで待った方がよさそうですね。

 

情報元はこちら。

 

Windows10バージョン1909およびWindowsServerバージョン1909

https://docs.microsoft.com/en-us/windows/release-information/status-windows-10-1909?WT.mc_id=ES-MVP-4021785#1513msgdesc

 

「企業内のドメインコントローラーでKerberos認証の問題が発生する可能性があります」という項目です。

 

以下は抜粋です。

 

ご使用の環境のドメイン・コントローラー(DC)および読み取り専用ドメイン・コントローラー(RODC)にKB4586786をインストールした後、Kerberos認証の問題が発生する場合があります。これは、これらのアップデートでCVE-2020-17049がどのように対処されたかの問題が原因です。CVE-2020-17049に記載されているように、PerformTicketSignatureを制御するための3つのレジストリ設定値がありますが、現在の実装では、設定ごとに異なる問題が発生する可能性があります。

 

●値を0に設定すると、スケジュールされたタスク、クラスタリング、基幹業務アプリケーションなどのサービスなどのS4Uシナリオを使用するときに認証の問題が発生する可能性があります。

 

●デフォルト値の設定1では、Kerberosを使用してWindowsドメインに対して認証するWindows以外のクライアントで認証の問題が発生する可能性があります。


・設定1では、KB4586786で更新されたDCで更新可能であるはずのKerberosチケットを更新しようとするクライアントは、2020年11月11日にリリースされた更新プログラムをインストールしていないDCまたは実行中のDCから発行された場合、Kerberosチケットの更新に失敗します。 Windows Server 2008 R2SP1またはWindowsServer 2008SP2。
・0から1に変更すると、更新可能とマークされているが、更新されたDCによって更新されない未処理のKerberosチケットが存在する可能性があるため、この問題が発生する可能性もあります。

 

●デフォルト値の設定が1の場合、2020年11月11日にリリースされた更新プログラムまたはWindows Server 2008 R2を実行しているDCをインストールしていないドメインDCを通過するKerberos紹介チケットについて、WindowsおよびWindows以外のデバイスでレルム間紹介が失敗する可能性もあります。 SP1またはWindowsServer 2008SP2。この問題は、ドメイン環境が部分的に更新されているか、少なくとも1つのWindows Server 2008 R2SP1またはWindowsServer 2008SP2が含まれている場合に発生する可能性があります。


●値を2に設定すると、強制モードが意図されており、特定の種類の非準拠Kerberosチケットが明示的に拒否されるため、すべてのDCが更新されない環境で問題が発生します。また、環境にWindows Server 2008 R2SP1またはWindowsServer 2008 SP2を実行しているDCが含まれている場合は、この時点では使用しないでください。


注この問題は、エンタープライズ環境のWindows Server、Windows 10デバイス、およびアプリケーションにのみ影響します。

影響を受けるプラットフォーム:
サーバー:Windows Server、バージョン20H2; Windows Server、バージョン2004; Windows Server、バージョン1909; Windows Server、バージョン1903; Windows Server、バージョン1809; Windows Server 2019; Windows Server 2016; Windows Server 2012 R2; Windows Server 2012

 

こちらまだ調査中とのことなので、適用は待った方がいいと思います。ケルベロス認証の問題って大問題になりかねないですからね。