10 月 22 日消息,科技媒体 Windows Report 昨日(10 月 21 日)发布博文,报道称微软承认 Windows 11(Version 24H2、25H2)及 Windows Server 2025 系统安装 KB5064081 等累积更新后,导致 Kerberos 和 NTLM 身份验证失败。
该公司在其支持文档中指出,问题的核心在于,受影响的设备共享了重复的安全标识符(SID),而近期更新引入了更严格的安全保护机制,强制执行 SID 的唯一性,因此用户安装了 8 月和 9 月的预览版累积更新(KB5064081、KB5065426)后开始显现登录验证问题。
受此问题影响的用户和管理员报告了多种登录与访问障碍。具体症状包括:系统反复弹出凭据输入提示且登录失败、无法访问共享网络文件夹、远程桌面协议 (RDP) 会话连接时报错。
此外,在故障转移群集操作中也可能出现“访问被拒绝”的错误。系统管理员还可以在事件查看器中发现相关错误,例如 SEC_E_NO_CREDENTIALS 或本地安全机构服务器服务 (lsasrv.dll) 的事件 ID 6167,其描述为“计算机 ID 存在部分不匹配”。
援引博文介绍,问题的根本原因在于重复的 SID。这种情况通常发生在 IT 管理员为了快速部署而克隆 Windows 系统镜像,但过程中没有使用官方推荐的“系统准备工具 (Sysprep)”。Sysprep 的核心功能之一就是为每个系统实例生成独一无二的标识符。
随着微软在最新的 Windows 版本中收紧安全策略,系统现在会主动检测并阻止来自重复 SID 设备的身份验证请求。微软强调,这一变更有意为之,旨在提升系统安全性,但无意中影响了那些依赖不规范克隆方式创建虚拟机或物理机的企业环境。
