Microsoftは11月13日(現地時間)、Windows 11/10に、サインインに失敗するなどのKerberos認証に関する問題が存在することを認めました(Neowin)。
Winowsの既知の不具合をまとめたヘルスダッシュボードには、以下のような項目が追加されています。
不具合の内容は、「2022年11月8日以降にリリースされた更新プログラムを、ドメインコントローラーの役割を持つWindowsサーバーにインストールした後、Kerberos認証で問題が発生する場合がある」というものです。
この問題は、環境内のすべてのKerberos認証に影響する可能性があり、影響を受ける可能性のあるシナリオは以下の通りです。
- ドメインユーザーのサインインに失敗する場合がある。Active Directory Federation Services(AD FS)の認証にも影響が出る可能性がある。
- インターネットインフォメーションサービス(IIS Web Server)などのサービスで使用されるグループマネージドサービスアカウント(gMSA)が認証に失敗することがある。
- ドメインユーザーを使用したリモートデスクトップ接続に失敗することがある。
- ワークステーションの共有フォルダーやサーバーのファイル共有にアクセスできないことがある。
- ドメインユーザー認証を必要とする印刷に失敗することがある。
この問題が発生しているかどうかは、ドメインコントローラーのイベントログで確認することができます。影響を受けた場合、「Microsoft-Windows-Kerberos-Key-Distribution-Center Event ID 14」エラーが発生し、以下のテキストが表示されている場合があるそうです。
While processing an AS request for target service , the account did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of will generate a proper key.
不具合が影響するプラットフォームは以下の通りです。
- Client: Windows 11, version 22H2; Windows 10, version 22H2; Windows 11, version 21H2; Windows 10, version 21H2; Windows 10, version 21H1; Windows 10, version 20H2; Windows 10 Enterprise LTSC 2019; Windows 10 Enterprise LTSC 2016; Windows 10 Enterprise 2015 LTSB; Windows 8.1; Windows 7 SP1
- Server: Windows Server 2022; Windows Server 2019; Windows Server 2016; Windows Server 2012 R2; Windows Server 2012; Windows Server 2008 R2 SP1; Windows Server 2008 SP2
Microsoftは修正プログラムの作成に取り組んでおり、今後数週間のうちに準備が整う予定です。