IT之家 10 月 22 日消息，科技媒體 Windows Report 昨日（10 月 21 日）發(fā)布博文，報(bào)道稱微軟承認(rèn) Windows 11（Version 24H2、25H2）及 Windows Server 2025 系統(tǒng)安裝 KB5064081 等累積更新后，導(dǎo)致 Kerberos 和 NTLM 身份驗(yàn)證失敗。

該公司在其支持文檔中指出，問題的核心在于，受影響的設(shè)備共享了重復(fù)的安全標(biāo)識符（SID），而近期更新引入了更嚴(yán)格的安全保護(hù)機(jī)制，強(qiáng)制執(zhí)行 SID 的唯一性，因此用戶安裝了 8 月和 9 月的預(yù)覽版累積更新（KB5064081、KB5065426）后開始顯現(xiàn)登錄驗(yàn)證問題。

受此問題影響的用戶和管理員報(bào)告了多種登錄與訪問障礙。具體癥狀包括：系統(tǒng)反復(fù)彈出憑據(jù)輸入提示且登錄失敗、無法訪問共享網(wǎng)絡(luò)文件夾、遠(yuǎn)程桌面協(xié)議 (RDP) 會(huì)話連接時(shí)報(bào)錯(cuò)。

此外，在故障轉(zhuǎn)移群集操作中也可能出現(xiàn)“訪問被拒絕”的錯(cuò)誤。系統(tǒng)管理員還可以在事件查看器中發(fā)現(xiàn)相關(guān)錯(cuò)誤，例如 SEC_E_NO_CREDENTIALS 或本地安全機(jī)構(gòu)服務(wù)器服務(wù) (lsasrv.dll) 的事件 ID 6167，其描述為“計(jì)算機(jī) ID 存在部分不匹配”。

IT之家援引博文介紹，問題的根本原因在于重復(fù)的 SID。這種情況通常發(fā)生在 IT 管理員為了快速部署而克隆 Windows 系統(tǒng)鏡像，但過程中沒有使用官方推薦的“系統(tǒng)準(zhǔn)備工具 (Sysprep)”。Sysprep 的核心功能之一就是為每個(gè)系統(tǒng)實(shí)例生成獨(dú)一無二的標(biāo)識符。

隨著微軟在最新的 Windows 版本中收緊安全策略，系統(tǒng)現(xiàn)在會(huì)主動(dòng)檢測并阻止來自重復(fù) SID 設(shè)備的身份驗(yàn)證請求。微軟強(qiáng)調(diào)，這一變更有意為之，旨在提升系統(tǒng)安全性，但無意中影響了那些依賴不規(guī)范克隆方式創(chuàng)建虛擬機(jī)或物理機(jī)的企業(yè)環(huán)境。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。