Microsoft の 2022 年 1 月 11 日のパッチ (KB5009624) をインストールすると、User-IDクレデンシャル エージェントの開始
Symptom
Microsoft の 2022 年 1 月 11 日のパッチをインストールすると ( KB5009624 )、Windows Server は User-IDクレデンシャル エージェントの開始。
Environment
ユーザー-ID Credential Agent は Windows Server バージョンにインストールされています。
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016
Cause
クレデンシャルを収集するには、Credential Phishing Prevention エージェントがハンドルを取得する必要があります。LSASS Windows サーバー上のアプリケーション。 この問題は、UaCredService がハンドルを取得しようとしているときに発生します。LSASSメモリを変更する権限を持つアプリケーション。
この問題が発生すると、Windows Server のアプリケーション イベント ログに、関連するエラーが表示されます。LSASS下図のように適用します。
(アプリケーション イベント ログを表示するには、コントロール パネルを開き、[システムとセキュリティ] を選択してから、[管理ツール] セクションで [イベント ログの表示] を選択します。 イベント ビューア ウィンドウが開きます。 コンソール ツリーで、[Windows ログ]、[アプリケーション] の順に移動します。 )。
アプリケーション イベント ログ
A critical system process, C:\Windows\system32\lsass.exe, failed with status code c0000096. The machine must now be restarted.
この問題が発生すると、Windows Server の CredentialAgent デバッグ ログに、以下に示すようなエラーが表示されます。
(あなたは見つけることができますUaCredDebug ログその場所でC:\Program Files\Palo Alto Networks\User-IDクレデンシャル エージェント。 )
02/11/22 14:09:17:618 [ Info 2055]: ------------Service is being started------------ 02/11/22 14:09:17:620 [ Info 2062]: Os version is 6.2.0. 02/11/22 14:09:17:620 [ Info 389]: Load debug log level Info. 02/11/22 14:09:17:621 [ Info 247]: Service version is 10.1.0.21. 02/11/22 14:09:17:621 [ Info 392]: Product version is 1. 02/11/22 14:09:17:621 [ Info 313]: Named pipe for UaService created. 02/11/22 14:09:17:621 [Error 337]: UaService not ready. Unable to fetch config. 2 (The system cannot find the file specified. ) 02/11/22 14:09:17:622 [Error 423]: Unable to get initial config, retrying 02/11/22 14:09:22:626 [Error 337]: UaService not ready. Unable to fetch config. 2 (The system cannot find the file specified. ) 02/11/22 14:09:33:489 [Error 162]: lsa get handle OpenProcess SamSs failed. 02/11/22 14:09:33:504 [Error 716]: Unable to extract credentials. 02/11/22 14:09:34:735 [Error 162]: lsa get handle OpenProcess SamSs failed.
Resolution
この問題を調査した結果、この問題の根本原因は、2022 年 1 月のパッチに含まれる Windows Server 2012、Windows Server 2012 R2、および Windows Server 2016 オペレーティング システムへの変更であることが判明しました。 Windows Server 2019 へのアップグレードを必要とする問題に対処するためのパスを決定することができました。
この問題を解決するには、管理者がアップグレードする必要があります。RODCクレデンシャル フィッシング防止エージェントが Windows Server 2019 にインストールされていることを確認し、新しくリリースされたエージェントのいずれかをインストールします。
新しくリリースされたエージェントは次のとおりです。
- 10.2.1
- 10.1.1
- 10.0.6
- 9.1.4
まとめ
- この問題を解決するには:
- のRODCCredential Phishing Prevention エージェントがインストールされている Windows Server 2019 にアップグレードする必要があります。
- Credential Phishing Prevention エージェントの新しいバージョンのいずれかをインストールする必要があります。
- 10.2.1
- 10.1.1
- 10.0.6
- 9.1.4
- サーバーを Windows Server 2019 にアップグレードできない場合は、次のことができます。
- Windows Server 2012、Windows Server 2012 R2、および Windows Server 2016 で 2022 年 1 月以降にリリースされたロールバック パッチ。
- 利用可能な他の 2 つのうちの 1 つを使用するクレデンシャル フィッシングの防止方法
- グループ マッピング
- IP ユーザー マッピング