安装微软 2021 年 6 月 8 日的安全补丁CVE-2021-26414 在域控制器上产生错误。

当微软 2021 年 6 月 8 日的安全补丁相关至CVE-2021-26414安装在托管域控制器的 Windows 服务器上，每 2 秒在域控制器上的事件日志中看到以下系统错误。

服务器端认证级别policy不允许来自地址 < 的用户 <用户名>FW IP > 激活DCOM服务器。 请在客户端应用程序中将激活认证级别至少提高到 RPC_C_AUTHN_LEVEL_PKT_INTEGRITY。

PAN-OSFirewall
托管域控制器的 Windows Server
WMI服务器监控的传输协议

2021 年 6 月 8 日，微软发布了一组补丁以响应CVE-2021-26414作为其每月补丁发布的一部分。 解决中描述的漏洞CVE-2021-26414 ，客户必须安装 2021 年 6 月 8 日发布的更新并启用注册表项“ HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Ole\AppCompat”按照中的说明KB5004442 .

启用此注册表项将使RPC服务器强制执行身份验证级别RPC_C_AUTHN_LEVEL_PKT_INTEGRITY或更高。 由于这些强化更改，域控制器上每隔 2 秒就会出现以下系统错误。

服务器端认证级别policy不允许来自地址 < 的用户 <用户名>FW IP > 激活DCOM服务器。 请在客户端应用程序中将激活认证级别至少提高到 RPC_C_AUTHN_LEVEL_PKT_INTEGRITY

您可以使用以下解决方法之一解决此问题：

选项 1：回滚 Microsoft 补丁

在托管域控制器的 Windows 服务器上回滚 6 月 8 日的安全补丁可解决此问题。 如果这不适合您，请考虑下面列出的选项之一。

选项 2：禁用注册表项

为了解决此问题，您可以禁用注册表项RequireIntegrityActivationAuthenticationLevel在托管域控制器的 Windows 服务器上。 如果这不适合您，请考虑下面列出的其余选项之一。

• 路径：HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Ole\AppCompat
• 值名称：“RequireIntegrityActivationAuthenticationLevel”
• 类型：双字
• 数值数据：0x00000000 表示禁用。

注意：您必须以十六进制格式输入数值数据。 设置此注册表项后，您必须重新启动设备才能使其生效。

从 2023 年 3 月 14 日起，强化变化DCOM将默认启用，客户将NOT能够禁用注册表项。 因此，禁用注册表项只是一种临时解决方法。 您应该考虑在 2023 年 3 月之前实施选项 3 或 4。

选项 3：切换到 WinRM 传输协议(Firewall应该运行PAN-OS9.0及以上版本）。

从...开始PAN-OS9.0，客户可以选择使用WMI或 WinRM 作为从域控制器读取安全日志事件的传输协议。

看到系统错误ONLY使用时WMI作为传输协议PAN-OS防火墙。 这些错误是NOT在使用 WinRM 传输协议时看到。

如果你的firewall在跑PAN-OS9.0及以上版本，可切换传输协议使用WinRM解决此问题。 WinRM 传输协议也是 Palo Alto Networks 推荐的用于监视域控制器的传输协议。

（没有用户丢失-ID使用 WinRM 而不是WMI, WinRM 协议比WMI，并提高了 User- 的性能和可扩展性ID监控。WinRM 协议比WMI，并提高了 User- 的性能和可扩展性ID监控。WinRM 可以帮助减少firewallCPU和内存利用率，以及提高速度IP-用户映射是从受监控的服务器中获取的。 有关如何操作的说明，请参阅此链接使用 WinRM 协议配置服务器监控）。

如果您有多个域控制器，则可以将传输协议从WMI到 WinRM 上ALL一次域控制器或一次更改一个域控制器上的传输协议。 请确保专用服务帐户具有所需的权限，如文档同时使用WMI和 WinRM 传输协议。

选项 4：切换到基于 Windows 的用户-ID代理人。

如果您不能使用以上 3 个选项中的任何一个，那么您可以切换到基于 Windows 的用户-ID代理解决此问题。 有关如何配置基于 Windows 的用户的更多信息-ID用户映射代理，请参考这里关联.