Windows Server 2025 Security Updateロールアウト後のKerberos Auth＆Network Glitchesにヒット

Microsoftの最新サーバーオペレーティングシステムであるWindows Server 2025は、現在、重要な既知の問題に取り組んでいます。最も顕著なのは、4月8日のセキュリティアップデート（ cve-20-26647 vurnerabilityのために実装されたセキュリティ対策に直接リンクされています。この問題は、Windows Server 2025だけでなく、Windows Server 2022、2019、2016などの古いバージョンにも影響します。認証の問題は、ビジネス（whfb）キートラストのセットアップとシステムの主要なキー認証を妨害する可能性があります。 Microsoftは、「これにより、Windows hello for Business（WHFB）の主要な信頼環境またはデバイスの公開キー認証を展開した主要な信頼環境または環境で認証の問題をもたらす可能性があることを認めています（Machine Pkinitとも呼ばれます）。

Microsoftが回避策を提供しており、最近他のバグを解決しました。 href=”https://support.microsoft.com/topic/November-12-2024-KB5046617-OS-BUILD-26100-2314-701F76D0-127-43F5-A5554-F562A940-43-43F5-A5554-F562A940BC17″a cout -現在の安定性の課題は、エンタープライズサーバー管理の複雑さを強調しています。管理者は、最新のステータスと緩和の手順についてMicrosoftの公式ガイダンスに相談するように促されます。 Microsoftは正式に次のように述べています。「2025年4月8日にリリースされた4月のWindows月次セキュリティアップデート（KB5055523/KB5055526/KB5055519/KB5055521）またはその後、アクティブディレクトリドメインコントローラー（DC）は、ケラベロスのログオンを処理した場合、証明書に基づいた認定資格を使用して、アクティブな信用を介してアクティブな信用を使用して問題を処理する場合に問題を経験する可能性があります。 MSDS-Keycredentiallinkフィールド。”

この問題は、CVE-2025-26647のセキュリティ対策に直接リンクされています。 Microsoftは、この脆弱性により、「この脆弱性を首尾よく搾取した攻撃者は、意図したものよりも重要な権利を証明書に割り当てることができる」と説明し、さらに「認証された攻撃者は、ターゲットの主題識別子（SKI）を含む証明書（SKI）を含む証明書（SKI）を含む証明書（CA）を取得することができます。 Distribution Center (KDC).”

The April updates changed how Domain Controllers validate certificates, now checking if they chain to a root in the NTAuth store, a behavior controllable via the `AllowNtAuthPolicyBypass` registry key, as detailed in Microsoft’s kb5057784ドキュメント。クライアントシステムは影響を受けていませんが、サーバー側の影響は幅が広いです。

推奨される回避策は、a registry”ドキュメント。問題の症状には、KerberosイベントID 45に記録されたドメインコントローラーが含まれます。「キーディストリビューション（KDC）が有効であるが、NTAuthストアのルートに連れて行っていないクライアント証明書に遭遇した」、またはレジストリ値が「2」に設定されている場合、イベントIDでより深刻なログオン障害があり、「クライアントの証明書」は「障害」に障害を発します。

別に、Windows Server 2025ドメインコントローラーは、ネットワークの誤解後の再装飾の影響を受けやすくなります。 Microsoftは、既知の問題ページで、これらのサーバーがドメインファイアウォールプロファイルを適用できない可能性があることを確認しました。代わりに標準プロファイルにデフォルトで、アプリケーションまたはサービスを到達不能にすることができます。

進行状況と解決のしゃっくりのパッチング

Microsoftは、Windows Server 2025の他のバグに積極的に対処しています。 2025年2月の更新（ KB5051987 ）は、2025年4月の更新（ kb5055523 ）。同じ4月のアップデートは、特定の kerberos pkinit and microsoft Learn 。 新機能の概要

重要な開発の1つは、Azure Arc-Managed Windows Server 2025の有料サブスクリプションモデルへのホットパッチ機能のシフトです。2025年7月1日になります。この機能は、最初はWindows Server 2025がデビューしたときに破壊的な再起動を減らすための重要な機能として宣伝されており、標準環境で1か月あたり1.50ドルのCPU Core for Multerems for Multerems for multermments for multermments for multermments for cpu core for cpu core for cpu core for cpu core for cpu core core coped shibabilityが

このAzure Arc対応サービスの無料プレビューは、2025年6月30日に締めくくります。WindowsServerのMicrosoftのゼネラルマネージャーであるHari Pulapakaは、以前に熱心にHotpatchingを説明し、「この機能はゲームチェンジャーになります。よりシンプルな変更制御、短いパッチウィンドウ、より簡単なオーケストレーション…そして週末に家族に会うことができます。」

この変更は、組織が潜在的に少ない再開の運用上の利点に対してサブスクリプションコストを比較検討する必要があることを意味しますが、ホットパッチはWindows Server Datacenter:Azure vmsまたはAzure Stack HCIのAzure Editionの含まれた機能のままです。