2022 年 5 月 10 日

更新时间 2022 年 5 月 27 日

此问题的首选缓解措施是手动将证书映射到 Active Directory 中的计算机帐户。 有关说明，请参阅证书映射。

注意 将证书映射到 Active Directory 中的用户或计算机帐户的说明是相同的。 如果首选缓解措施在你的环境中不起作用，请参阅 Windows 域控制器上基于证书的身份验证更改–KB5014754，并在“SChannel 注册表项”部分中查看其他可能的缓解措施。

注意 除首选缓解措施之外的任何其他缓解措施都可能会降低或禁用安全强化。

此问题已在 2022 年 5 月 19 日发布的带外更新中得到解决，适用于在环境中的所有域控制器上的安装，以及所有中间应用程序服务器，如网络策略服务器 (NPS)、RADIUS、证书颁发机构 (CA) 或 Web 服务器，这些服务器会将身份验证证书从正在进行身份验证的客户端传递到身份验证 DC。 如果对此问题使用了任何解决方法或缓解措施，则你不再需要它们，建议将它们删除。 这包括删除 KB5014754 的 SChannel 注册表项部分中记录的注册表项 (CertificateMappingMethods = 0x1F)。 客户端无需执行任何操作即可解决此身份验证问题。

若要获取这些带外更新的独立包，请在 Microsoft 更新目录中搜索 KB 编号。 可以手动将这些更新导入到 Windows Server Update Services (WSUS) 和 Microsoft Endpoint Configuration Manager。 有关 WSUS 说明，请参阅 WSUS 和目录站点。 有关配置管理器说明，请参阅 从 Microsoft 更新目录中导入更新。 请注意，以下更新并非来自 Windows 更新，并且不会自动安装。

累积更新：

Windows 服务器 2022：KB5015013

Windows服务器，版本 20H2：KB5015020

Windows 服务器 2019：KB5015018

Windows 服务器 2016：KB5015019

注意 在安装这些累积更新之前，无需应用任何以前的更新。 如果已安装 2022 年 5 月 10 日发布的更新，则在安装任何后续更新（包括上面列出的更新）之前，无需卸载受影响的更新。