在微软于5月10日的patch tuesday发布安全更新以修补74个安全漏洞之后,相继有用户抱怨在部署该更新之后,许多服务的认证机制都故障了,不过,微软已在本周四(5/19)发布了紧急修补程序,只是需要it管理人员手动安装。
根据微软的调查,只要是部署在组织域名控制站(domain controller)上的安全更新,就可能在许多服务的服务器或客户端遭遇认证失败的问题,主要是域名控制站在比对凭证与机器账号时出了差错,受影响的服务涵盖网络原则服务器(network policy server)、路由及远程访问服务(routing and remote access service,rras)、radius、可延伸的验证通信协议(extensible authentication protocol,eap)及受保护的延伸认证协议(protected extensible authentication protocol,peap)等。
上述问题只影响将5月更新部署于作为域名控制站的服务器上,而未波及客户端的windows设备或非域名控制站的windows server。
当时微软所建议的缓解措施是手动于active directory上比对凭证与机器账号,而周四则直接修补了这个bug。
微软鼓励于组织环境中安装域名控制站的it管理人员移除之前的缓解措施并部署该更新,但相关更新并不会自动部署,而是必须手动将更新植入windows server update services(wsus)与endpoint configuration manager。