Проблема возникает, если у учётных записей пользователей в Active Directory установлен параметр Эта учетная запись поддерживает 256-битное шифрование Kerberos AES или Эта учетная запись поддерживает 128-битное шифрование Kerberos AES.
Сообщается, что баг в Kerberos может приводить к следующим последствиям (перечень не является исчерпывающим):
- Вход пользователя домена может завершиться ошибкой. Это также может влиять на аутентификацию Active Directory Federation Services(AD FS);
- Аутентификация может не работать при использовании Group Managed Service Accounts (gMSA)для таких служб, как Internet Information Services (IIS Web Server);
- Подключения к удалённому рабочему столу с использованием пользователей домена могут не работать;
- Возможны проблемы с получением доступа к общим папкам на рабочих станциях и файловым ресурсам на серверах;
- Печать, требующая аутентификации пользователя домена, может завершаться с ошибкой.
Ниже перечень патчей, которые устраняют данную проблему. Патчи необходимо установить на все контроллеры домена. Установка на другие серверы или клиентские устройства не требуется.
Windows Server 2022: KB5021656;
Windows Server 2019: KB5021655;
Windows Server 2016: KB5021654;
Windows Server 2012 R2: KB5021653;
Windows Server 2012: KB5021652;
Windows Server 2008 R2 SP1: KB5021651;
Windows Server 2008 SP2: KB5021657.