November 8, 2022—KB5019961 (OS Build 22000.1219)

Windows 11 21H2版本，所有版本更多… 少

上映日期(待定):

11/8/2022

版本:

OS Build 22000.1219

由于假期和即将到来的西方新年期间的操作很少，2022年12月将不会有非安全预览版本。2022年12月将有一个月度安全发布(称为“B”发布)。B版和非安全预览版的正常每月服务将于2023年1月恢复。

有关Windows更新术语的信息，请参阅有关Windows更新类型和每月质量更新类型的文章。有关Windows 11版本21H2的概述，请参阅其更新历史页面。

注意:关注@ windowupdate以了解新内容何时发布到Windows版本运行状况指示板。

提示:正在寻找本月的视频?它现在出现在Windows 11 22H2版本的文章中。

突出了

它解决了Windows操作系统的安全问题。

改进

此安全更新包括更新KB5018483(2022年10月25日发布)的一部分的改进。当你安装这个KB:

它对内部操作系统功能进行了各种安全改进。此版本没有记录其他问题。

如果您安装了较早的更新，则只有此包中包含的新更新将被下载并安装在您的设备上。

有关安全漏洞的更多信息，请参阅安全更新指南网站和2022年11月安全更新。

Windows 11服务栈更新- 22000.1035

此更新对服务栈(即安装Windows更新的组件)进行了质量改进。服务栈更新(SSU)确保您有一个健壮和可靠的服务栈，以便您的设备可以接收和安装Microsoft更新。

此更新中的已知问题

适用于	症状	解决方案
IT管理员	在具有域控制器角色的Windows服务器上安装2022年11月8日或之后发布的更新后，Kerberos身份验证可能会出现问题。这个问题可能会影响您环境中的任何Kerberos身份验证。一些可能受影响的场景: 域用户登录可能失败。这也可能影响Active Directory联合服务(AD FS)身份验证。用于Internet信息服务(IIS Web Server)等服务的组管理服务帐户(gMSA)可能无法进行身份验证。使用域用户的远程桌面连接可能连接失败。您可能无法访问工作站上的共享文件夹和服务器上的文件共享。需要域用户身份验证的打印可能会失败。遇到此问题时，您可能会在域控制器上的事件日志的System部分收到一个Microsoft-Windows-Kerberos-Key-Distribution-Center事件ID 14错误事件，并显示以下文本。注意:受影响的事件会有“缺失的键ID为1”: `在处理目标服务<service>的AS请求时，帐户<account name>没有生成Kerberos票据的合适密钥(缺少的密钥的ID为1)。请求的etypes: 18。可用的帐户类型:23 18 17。更改或重置<account name>的密码将生成一个合适的密钥。` 注意:从2022年11月的安全更新开始，Netlogon和Kerberos的安全加固不会出现此问题。即使解决了这个问题，您仍然需要遵循这些文章中的指导。消费者在家中使用的Windows设备或不属于本地域的设备不受此问题的影响。非混合且没有任何本地Active Directory服务器的Azure Active Directory环境不受影响。	该问题已在2022年11月17日发布的带外更新中得到解决，用于在环境中的所有域控制器(dc)上安装。您不需要安装任何更新或对环境中的其他服务器或客户端设备进行任何更改即可解决此问题。如果您为此问题使用了任何解决方案或缓解措施，则不再需要它们，我们建议您删除它们。要获取这些带外更新的独立包，请在Microsoft Update Catalog中搜索KB号。您可以手动将这些更新导入Windows Server Update Services (WSUS)和Microsoft Endpoint Configuration Manager。有关WSUS的说明，请参阅WSUS和目录站点。有关配置管理器说明，请参见从Microsoft更新目录导入更新。注意以下更新不能从Windows Update中获得，并且不会自动安装。累积更新: Windows Server 2022: KB5021656 Windows Server 2019: KB5021655 Windows Server 2016: KB5021654 注意:在安装这些累积更新之前，您不需要应用任何以前的更新。如果您已经安装了2022年11月8日发布的更新，则不需要在安装任何后续更新(包括上面列出的更新)之前卸载受影响的更新。独立的更新: Windows Server 2012 R2: KB5021653 Windows Server 2012: KB5021652 Windows Server 2008 R2 SP1:此更新尚未可用。请在下周查看更多信息。 Windows Server 2008 SP2: KB5021657 注意:如果您正在使用这些版本的Windows Server的仅安全更新，则只需要在2022年11月安装这些独立更新。仅安全更新不是累积的，并且您还需要安装所有以前的仅安全更新以完全更新。每月汇总更新是累积的，包括安全和所有质量更新。如果您正在使用每月汇总更新，则需要安装上面列出的独立更新来解决此问题，并安装2022年11月8日发布的每月汇总，以接收2022年11月的质量更新。如果您已经安装了2022年11月8日发布的更新，则不需要在安装任何后续更新(包括上面列出的更新)之前卸载受影响的更新。
IT管理员	安装此更新或更新版本后，您可能会在暂时失去网络连接或在Wi-Fi网络或接入点之间切换后无法重新连接到Direct Access。注意此问题不应影响其他远程访问解决方案，如VPN(有时称为remote access Server或RAS)和Always On VPN (AOVPN)。消费者在家中使用的Windows设备或没有使用直接访问远程访问组织网络资源的组织中的设备不受影响。	此问题已在2022年12月13日(KB5021234)及以后发布的更新中得到解决。我们建议您为设备安装最新的安全更新。它包含重要的改进和问题解决方案，包括这个。如果您安装了2022年12月13日发布的更新(KB5021234)或更新版本，则不需要使用已知问题回滚(KIR)或特殊组策略来解决此问题。如果您使用的是2022年12月13日之前发布的更新，并且存在此问题，则可以通过安装和配置下面列出的特殊组策略来解决此问题。特殊的组策略可以在计算机配置->管理模板-> <下面列出的组策略名称> 中找到。有关部署和配置这些特殊组策略的信息，请参见如何使用组策略部署已知问题回滚。组策略下载与组策略名称: 下载Windows 11，版本22H2 - KB5018427 221029_091533已知问题回滚下载Windows 11，版本21H2 - KB5018483 220927_043051已知问题回滚下载适用于Windows Server 2022 - KB5018485 220927_043049已知问题回退下载Windows 10版本22H2;Windows 10，版本21H2;Windows 10，版本21H1;Windows 10，版本20H2 - KB5018482 220927_043047已知问题回退重要说明:您必须为您的Windows版本安装并配置组策略才能解决此问题。
IT管理员	安装此更新后，使用Microsoft ODBC SQL Server Driver (sqlsrv32.dll)访问数据库的ODBC连接的应用程序可能无法连接。你可能会在应用程序中收到一个错误，或者你可能会收到一个来自SQL Server的错误，比如“EMS系统遇到了一个问题”，“消息:[Microsoft][ODBC SQL Server Driver] TDS流中的协议错误”或“消息:[Microsoft][ODBC SQL Server Driver]从SQL Server收到未知令牌”。开发者注意:受此问题影响的应用程序可能无法获取数据，例如在使用SQLFetch函数时。当在SQLFetch之前调用SQLBindCol函数或在SQLFetch之后调用SQLGetData函数时，以及当大于4字节的固定数据类型(例如SQL_C_FLOAT)的' BufferLength '参数的值为0(零)时，可能会发生此问题。如果你不确定你是否正在使用任何受影响的应用程序，打开任何使用数据库的应用程序，然后打开命令提示符(选择启动，然后键入命令提示符并选择它)，并键入以下命令: `Tasklist /m sqlsrv32.dll`	此问题在KB5022287中得到解决。

适用于

症状

解决方案

IT管理员

在具有域控制器角色的Windows服务器上安装2022年11月8日或之后发布的更新后，Kerberos身份验证可能会出现问题。这个问题可能会影响您环境中的任何Kerberos身份验证。一些可能受影响的场景:

域用户登录可能失败。这也可能影响Active Directory联合服务(AD FS)身份验证。
用于Internet信息服务(IIS Web Server)等服务的组管理服务帐户(gMSA)可能无法进行身份验证。
使用域用户的远程桌面连接可能连接失败。
您可能无法访问工作站上的共享文件夹和服务器上的文件共享。
需要域用户身份验证的打印可能会失败。

遇到此问题时，您可能会在域控制器上的事件日志的System部分收到一个Microsoft-Windows-Kerberos-Key-Distribution-Center事件ID 14错误事件，并显示以下文本。注意:受影响的事件会有“缺失的键ID为1”:

在处理目标服务<service>的AS请求时，帐户<account name>没有生成Kerberos票据的合适密钥(缺少的密钥的ID为1)。请求的etypes: 18。可用的帐户类型:23 18 17。更改或重置<account name>的密码将生成一个合适的密钥。

注意:从2022年11月的安全更新开始，Netlogon和Kerberos的安全加固不会出现此问题。即使解决了这个问题，您仍然需要遵循这些文章中的指导。

消费者在家中使用的Windows设备或不属于本地域的设备不受此问题的影响。非混合且没有任何本地Active Directory服务器的Azure Active Directory环境不受影响。

该问题已在2022年11月17日发布的带外更新中得到解决，用于在环境中的所有域控制器(dc)上安装。您不需要安装任何更新或对环境中的其他服务器或客户端设备进行任何更改即可解决此问题。如果您为此问题使用了任何解决方案或缓解措施，则不再需要它们，我们建议您删除它们。

要获取这些带外更新的独立包，请在Microsoft Update Catalog中搜索KB号。您可以手动将这些更新导入Windows Server Update Services (WSUS)和Microsoft Endpoint Configuration Manager。有关WSUS的说明，请参阅WSUS和目录站点。有关配置管理器说明，请参见从Microsoft更新目录导入更新。

注意以下更新不能从Windows Update中获得，并且不会自动安装。

累积更新:

Windows Server 2022: KB5021656
Windows Server 2019: KB5021655
Windows Server 2016: KB5021654

注意:在安装这些累积更新之前，您不需要应用任何以前的更新。如果您已经安装了2022年11月8日发布的更新，则不需要在安装任何后续更新(包括上面列出的更新)之前卸载受影响的更新。

独立的更新:

Windows Server 2012 R2: KB5021653
Windows Server 2012: KB5021652
Windows Server 2008 R2 SP1:此更新尚未可用。请在下周查看更多信息。
Windows Server 2008 SP2: KB5021657

注意:如果您正在使用这些版本的Windows Server的仅安全更新，则只需要在2022年11月安装这些独立更新。仅安全更新不是累积的，并且您还需要安装所有以前的仅安全更新以完全更新。每月汇总更新是累积的，包括安全和所有质量更新。如果您正在使用每月汇总更新，则需要安装上面列出的独立更新来解决此问题，并安装2022年11月8日发布的每月汇总，以接收2022年11月的质量更新。如果您已经安装了2022年11月8日发布的更新，则不需要在安装任何后续更新(包括上面列出的更新)之前卸载受影响的更新。

IT管理员

安装此更新或更新版本后，您可能会在暂时失去网络连接或在Wi-Fi网络或接入点之间切换后无法重新连接到Direct Access。

注意此问题不应影响其他远程访问解决方案，如VPN(有时称为remote access Server或RAS)和Always On VPN (AOVPN)。

消费者在家中使用的Windows设备或没有使用直接访问远程访问组织网络资源的组织中的设备不受影响。

此问题已在2022年12月13日(KB5021234)及以后发布的更新中得到解决。我们建议您为设备安装最新的安全更新。它包含重要的改进和问题解决方案，包括这个。如果您安装了2022年12月13日发布的更新(KB5021234)或更新版本，则不需要使用已知问题回滚(KIR)或特殊组策略来解决此问题。如果您使用的是2022年12月13日之前发布的更新，并且存在此问题，则可以通过安装和配置下面列出的特殊组策略来解决此问题。特殊的组策略可以在计算机配置->管理模板-> <下面列出的组策略名称> 中找到。

有关部署和配置这些特殊组策略的信息，请参见如何使用组策略部署已知问题回滚。

组策略下载与组策略名称:

下载Windows 11，版本22H2 - KB5018427 221029_091533已知问题回滚
下载Windows 11，版本21H2 - KB5018483 220927_043051已知问题回滚
下载适用于Windows Server 2022 - KB5018485 220927_043049已知问题回退
下载Windows 10版本22H2;Windows 10，版本21H2;Windows 10，版本21H1;Windows 10，版本20H2 - KB5018482 220927_043047已知问题回退

重要说明:您必须为您的Windows版本安装并配置组策略才能解决此问题。

IT管理员

安装此更新后，使用Microsoft ODBC SQL Server Driver (sqlsrv32.dll)访问数据库的ODBC连接的应用程序可能无法连接。你可能会在应用程序中收到一个错误，或者你可能会收到一个来自SQL Server的错误，比如“EMS系统遇到了一个问题”，“消息:[Microsoft][ODBC SQL Server Driver] TDS流中的协议错误”或“消息:[Microsoft][ODBC SQL Server Driver]从SQL Server收到未知令牌”。

开发者注意:受此问题影响的应用程序可能无法获取数据，例如在使用SQLFetch函数时。当在SQLFetch之前调用SQLBindCol函数或在SQLFetch之后调用SQLGetData函数时，以及当大于4字节的固定数据类型(例如SQL_C_FLOAT)的' BufferLength '参数的值为0(零)时，可能会发生此问题。

如果你不确定你是否正在使用任何受影响的应用程序，打开任何使用数据库的应用程序，然后打开命令提示符(选择启动，然后键入命令提示符并选择它)，并键入以下命令:

Tasklist /m sqlsrv32.dll

此问题在KB5022287中得到解决。

如何获得此更新

在安装此更新之前

Microsoft将针对您的操作系统的最新服务堆栈更新(SSU)与最新累积更新(LCU)结合起来。有关SSU的一般信息，请参阅服务堆栈更新和服务堆栈更新(SSU):常见问题。

安装此更新

发布渠道	可用	下一个步骤
Windows Update和Microsoft Update	是的	一个也没有。此更新将从Windows update下载并自动安装。
企业Windows更新	是的	一个也没有。此更新将按照配置的策略自动从Windows update下载并安装。
微软更新目录	是的	要获取此更新的独立包，请转到Microsoft update Catalog网站。
Windows Server更新服务(WSUS)	是的	如果您按照以下方式配置产品和分类，此更新将自动与WSUS同步: 产品:Windows 11 分类:安全更新