发布日期:

2021/11/9

版本:

OS 内部版本 14393.4770

到期通知

自 2023 年 9 月 12 日起,KB5007192不再可从 Windows 更新、Microsoft 更新目录或其他发布渠道获取。 建议将设备更新到最新的安全质量更新。

新 11/9/2021 重要由于在假期期间和即将到来的西部新年期间操作很少,因此在 2021 年 12 月) ,不会有预览版 (称为“C”版本。 2021 年 12 月, (称为“B”版本的每月安全发布) 。 B 和 C 版本的正常每月服务将于 2022 年 1 月恢复。

20 /11/19 有关 Windows 更新术语的信息,请参阅有关 Windows 更新类型和每月质量更新类型的文章。 有关Windows 10版本 1607 的概述,请参阅其更新历史记录页。 

重要信息

  • 汇报 Windows 操作系统的安全性。

改进和修复

此安全更新程序包括质量改进。 关键更改包括:

  • 解决了在呈现某些用户界面元素时或在应用中绘图时,某些应用可能会产生意外结果的问题。 对于使用 GDI+ 并在显示器上设置零 (0) 宽度的笔对象的应用,) 或分辨率 (DPI) 或分辨率较高,或者应用正在使用缩放,则可能会遇到此问题。

  • 解决了阻止故障转移群集更新域名服务器 (DNS) 记录的问题。

如果已安装较早的更新,那么此程序包中只有新的修补程序会下载并安装到设备上。  

有关已解决的安全漏洞的详细信息,请参阅新的安全更新指南网站和 2021 年 11 月安全汇报

此更新中的已知问题

症状

解决方法

安装此更新后,Windows 打印客户端在连接到 Windows 打印服务器上共享的远程打印机时可能会遇到以下错误:

  • 0x000006e4 (RPC_S_CANNOT_SUPPORT)

  • 0x0000007c (ERROR_INVALID_LEVEL)

  • 0x00000709 (ERROR_INVALID_PRINTER_NAME)

注意 此问题中所述的打印机连接问题特定于打印服务器,在专为家庭使用而设计的设备中不常见。 受此问题影响的打印环境在企业和组织中更为常见。

此问题已在 KB5008207 中得到解决。

在运行 Windows Server 版本的域控制器 (DC) 上安装 2021 年 11 月 9 日发布的 11 月安全更新后,你可能在通过 S4u2 自己获取的 Kerberos 票证相关的服务器上出现身份验证失败。 身份验证失败是通过 S4u2 本身获取的 Kerberos 票证的结果,并用作协议转换的证据票证,以委托给未通过签名验证的后端服务。 如果 Kerberos 委派方案依赖于前端服务来代表用户访问后端服务来检索 Kerberos 票证,则 Kerberos 身份验证将失败。 重要的 Kerberos 委派方案,即 Kerberos 客户端为前端服务提供证据票证不受影响。 纯 Azure Active Directory 环境不受此问题的影响。 

环境中的最终用户可能无法使用 单一登录 (SSO 登录到服务或应用程序,) 使用本地 Active Directory 或混合 Azure Active Directory 环境登录。 汇报安装在客户端上的 Windows 设备不会造成或影响此问题。

受影响的环境可能使用以下项:

  • Azure Active Directory (AAD) 应用程序代理 集成 Windows 身份验证 (IWA) 使用 Kerberos 约束委派 (KCD)

  • Web 应用程序代理 (WAP) 集成 Windows 身份验证 (IWA) 单一登录 (SSO)

  • Active Directory 联合身份验证服务 (ADFS)

  • Microsoft SQL Server

  • Internet Information Services (IIS) 使用集成 Windows 身份验证 (IWA)

  • 中间设备,包括执行委托身份验证的负载均衡器

遇到此问题时,可能会收到以下一个或多个错误:

  • 事件查看器可能会显示系统事件日志中记录的 Microsoft-Windows-Kerberos-Key-Distribution-Center 事件 18

  • 在 Microsoft-AAD 应用程序代理 连接器事件 12027 中的 Azure AD 应用程序代理事件日志中记录了错误0x8009030c,其中文本 Web 应用程序代理遇到意外

  • 网络跟踪包含以下签名,如下所示:

    • 7281 24:44 (644) 10.11.2.12 <应用服务器主机名>.contoso.com KerberosV5 KerberosV5:TGS 请求领域: CONTOSO.COM Sname: http/xxxxx-xxx.contoso.com

    • 7282 7290 (0) <主机名>。 CONTOSO.COM <发出 TGS 请求的应用程序服务器的 IP 地址>

此问题已在 KB5008601 中得到解决。

安装此更新后,Microsoft Installer (MSI) 在修复或更新应用时可能会遇到问题。 已知受影响的应用包括 来自卡巴斯基的一些应用。 尝试更新或修复后,受影响的应用可能无法打开。

此问题已在 KB5008207 中得到解决。

安装 2021 年 4 月 22 日或更高版本发布的更新后,会出现影响用作密钥管理服务 (KMS) 主机的 Windows Server 版本的问题。 运行 Windows 10 企业版 LTSC 2019 和 Windows 10 企业版 LTSC 2016 的客户端设备可能无法激活。 仅当使用新的客户支持批量许可证密钥 (CSVLK) 时,才会出现此问题。 

注意 这不会影响激活任何其他版本的 Windows。 

尝试激活并受此问题影响的客户端设备可能会收到错误,"错误: 0xC004F074。 软件授权服务报告无法激活计算机。 无法联系密钥管理服务 (KMS)。 有关其他信息,请参阅应用程序事件日志。"

与激活相关的事件日志条目是告知你可能受此问题影响的另一种方法。 在激活失败的客户端设备上打开事件查看器 并转到Windows 日志>Application。 如果只看到事件 ID 12288,而没有相应的事件 ID 12289,则这意味着下列情况之一:

  • KMS 客户端无法访问 KMS 主机。

  • KMS 主机未响应。

  • 客户端未收到响应。

有关这些事件 ID 的详细信息,请参阅有用的 KMS 客户端事件 - 事件 ID 12288 和事件 ID 12289

此问题已在 KB5010359中解决。

如何获取此更新

KB5007192不再可用。

需要更多帮助?

需要更多选项?

了解订阅权益、浏览培训课程、了解如何保护设备等。

社区可帮助你提出和回答问题、提供反馈,并听取经验丰富专家的意见。