查找有关Windows 10版本 1607 和 Windows Server 2016 最近解决的问题的信息。 若要查找特定问题,请在浏览器上使用搜索函数, (ctrl + F Microsoft Edge) 。 有关 Windows 更新问题的即时帮助,请使用 Windows 设备打开“获取帮助”应用或转到 support.microsoft.com,请单击此处。 遵循 @WindowsUpdate X (以前是 Twitter) ,了解 Windows 版本运行状况更新。 如果你是 IT 管理员,想要以编程方式从此页面获取信息,请使用 Microsoft Graph 中的 Windows 汇报 API。
已解决的问题
| 摘要 | 原始更新 | 状态 | 已解决日期 |
|---|---|---|---|
| 登录可能会失败,Windows Hello处于密钥信任模式并记录 Kerberos 事件 2025 年 4 月更新可能会在记录 Kerberos 事件 ID 45 和 21 的域控制器中触发行为 | OS 内部版本 14393.7969 KB5055521 2025-04-08 | 已解决 KB5061010 | 2025-06-10 太平洋时间 10:00 |
| 2024 年 8 月安全更新可能会影响双启动安装设备中的 Linux 启动 应用 SBAT 设置时,此问题可能会影响具有 Windows 和 Linux 双启动设置的设备 | OS 内部版本 14393.7259 KB5041773 2024-08-13 | 已解决 KB5058383 | 2025-05-13 太平洋时间 10:00 |
| 安全策略可能无法按预期工作,并且失败且没有错误消息 通过在 2016 年之后发布的 Windows 版本上编译策略来防止此问题。 | OS 内部版本 14393.7259 KB5041773 2024-08-13 | 已解决 | 2025-04-08 PT 10:02 |
| 应用或设备可能无法创建 Netlogon 安全通道连接 如果依赖于合成 RODC 计算机帐户的方案没有链接的 KRBTGT 帐户,它们可能会失败。 | OS 内部版本 14393.4886 KB5009546 2022-01-11 | 已解决的外部问题 | 2024-08-20 PT 16:29 |
| 设备可能会通过 2024 年 7 月安全更新启动到 BitLocker 恢复 此问题更有可能影响启用了“设备加密”选项的设备 | OS 内部版本 14393.7159 KB5040434 2024-07-09 | 已解决 KB5041773 | 2024-08-13 太平洋时间 10:00 |
| 使用 LPD 协议的打印作业可能会因 2024 年 7 月安全更新而失败 安装 Windows 7 月安全更新后,组织报告了问题 | OS 内部版本 14393.7159 KB5040434 2024-07-09 | 已解决 KB5041773 | 2024-08-13 太平洋时间 10:00 |
| 影响 Windows 终结点导致错误消息的 CrowdStrike 问题 受影响的系统可能会重复重启,并需要恢复作才能恢复正常使用。 | 不适用 | 已解决的外部问题 | 2024-08-05 PT 16:07 |
问题详细信息
2025 年 5 月
登录可能会失败,Windows Hello处于密钥信任模式并记录 Kerberos 事件
| 状态 | 原始更新 | 历史记录 |
|---|---|---|
| 已解决 KB5061010 | OS 内部版本 14393.7969 KB5055521 2025-04-08 | 已解决:2025-06-10,10:00(PT) 打开时间:2025-05-06,13:25(PT) |
安装 2025 年 4 月 8 日发布的 4 月 Windows 每月安全更新后, (KB5055523) 或更高版本,Active Directory 域控制器 (DC) 处理 Kerberos 登录或委托时可能会遇到身份验证中断,而基于证书的凭据依赖于通过 Active Directory msds-KeyCredentialLink 字段的密钥信任。
在这些更新之后,DC 验证用于 Kerberos 身份验证的证书的方法已更改,现在将要求将证书链接到 NTAuth 存储中的证书颁发机构 (CA) 。 这与 KB5057784 - CVE-2025-26647 保护 (Kerberos 身份验证) 中所述的 安全措施有关。 因此,在Windows Hello 企业版 (WHfB) 密钥信任环境或已部署设备公钥身份验证 (也称为计算机 PKINIT) 的环境中,可能会观察到身份验证失败。 依赖于此功能的其他产品也可能受到影响。
此验证方法的启用可由 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc中的 Windows 注册表值 AllowNtAuthPolicyBypass 控制。 在对 DC 进行身份验证时安装 2025 年 4 月 Windows 月度安全更新后,可以观察到两种情况:
- 当注册表值 AllowNtAuthPolicyBypass 未配置或设置为“1”时,Kerberos-Key-Distribution-Center 事件 ID 45 将重复记录在 DC 系统事件日志中,文本类似于“密钥分发中心 (KDC) 遇到有效但未链接到 NTAuth 存储中颁发 CA 的客户端证书”。 这是一个新事件,由使用不安全证书为身份验证请求提供服务的 DC 有意记录。 尽管此事件可能记录过多,但请注意,相关的登录作在其他方面是成功的,并且不会在这些事件日志记录之外观察到其他更改。
- 当注册表值 AllowNtAuthPolicyBypass 设置为“2”时,基于证书的自签名身份验证将失败。 Kerberos-Key-Distribution-Center 事件 ID 21 记录在 DC 系统事件日志中。 这是在基于证书的身份验证失败时记录的旧事件,当 DC 使用不安全证书为身份验证请求提供服务时,会有意记录此事件。 此事件的事件说明文本可能会有所不同。
请注意,如果 AllowNtAuthPolicyBypass 注册表项不存在,DC 将像将值配置为“1”一样运行。 如果密钥不存在,可以手动创建,并按上述方式进行配置。
Windows 汇报在 2025 年 4 月 8 日及之后发布,在使用从不链接到 NTAuth 存储中的 CA 的自签名证书为身份验证请求提供服务时,错误地记录了事件 ID 45 和 21。 在以下情况下,AD PKINIT 密钥信任功能可以使用自签名证书:
- Windows Hello 企业版 (WHfB) 密钥信任部署
- 设备公钥身份验证 (也称为计算机 PKINIT) 。
- 依赖于 msds-KeyCredentialLink 字段的其他方案,例如智能卡产品、第三方单一登录 (SSO) 解决方案和标识管理系统。
解决方法: 此问题已由 2025 年 6 月 10 日发布的 Windows 更新 (KB5061010) 及更高版本解决。 建议为设备安装最新的安全更新,因为它包含重要的改进和问题解决方法,包括此更新。
如果安装 2025 年 6 月 10 日或更高版本发布的更新,则无需对此问题使用解决方法。 如果使用在此日期之前发布的更新并出现此问题,则应暂时延迟在为基于自签名证书的身份验证提供服务的更新 DC 上将注册表项 AllowNtAuthPolicyBypass 的值设置为“2”。 有关详细信息,请参阅 KB5057784 的注册表设置部分。
受影响的平台:
- 客户端:无
- 服务器:Windows Server 2025;Windows Server 2022;Windows Server 2019;Windows Server 2016
2025 年 3 月
安全策略可能无法按预期工作,并且失败且没有错误消息
| 状态 | 原始更新 | 历史记录 |
|---|---|---|
| 已解决 | OS 内部版本 14393.7259 KB5041773 2024-08-13 | 已解决:2025-04-08,10:02(PT) 打开时间:2025-03-18,16:04(PT) |
某些安全策略可能无法按预期工作,并且不会显示错误消息。 管理员可能会注意到, (以前是 Windows Defender 应用程序控制) 的应用控制 策略 未强制执行,并且其预期效果不会在其环境中应用。
请注意,此问题以“静默方式”出现;Windows 不会显示策略失败的任何警告或通知。 对于受影响的设备,应用程序块不会按预期工作,这意味着仍可以运行策略阻止的应用程序。 检测设备是否受此问题影响的唯一方法是监视或手动测试,以确认以块为目标的应用程序是否能够运行。
解决方法:此问题已由 2025 年 4 月 8 日发布的 Windows 更新 () 及更高版本解决。 建议为设备安装最新更新,因为它包含重要的改进和问题解决方法,包括此更新。
如果安装 2025 年 4 月 8 日或更高版本发布的更新,则无需对此问题使用解决方法。 如果使用 2025 年 4 月 8 日之前发布的更新,并且遇到此问题,则可以考虑以下解决方法。 此问题源于 2016 Windows 10 企业版、Windows Server 2016 或 2015 Windows 10 企业版 中使用的策略编译过程。 如果策略是在运行这些版本的系统上生成的,则当跨环境应用时,生成的策略将带来问题。 但是,在较新的 Windows 版本(如 Windows 10、版本 22H2 或 Windows Server 2022)上编译的策略将按预期方式工作,且在应用策略时不会出现此问题。
通过在 2016 年之后发布的 Windows 版本上编译策略来防止此问题。 之后,可以将该策略传输并应用到目标环境。 然后,即使运行 2016 年之前发布的 Windows 版本 (受影响平台部分中列出的版本) ,该策略也应按预期工作。
受影响的平台:
- 客户端:Windows 10 企业版 LTSC 2016;Windows 10 企业版 2015 长期服务
- 服务器:Windows Server 2016
2024 年 8 月
2024 年 8 月安全更新可能会影响双启动安装设备中的 Linux 启动
| 状态 | 原始更新 | 历史记录 |
|---|---|---|
| 已解决 KB5058383 | OS 内部版本 14393.7259 KB5041773 2024-08-13 | 已解决:2025-05-13,10:00(PT) 打开时间:2024-08-21,18:33(PT) |
安装 2024 年 8 月 Windows 安全更新、 (KB5041773) 或 2024 年 8 月预览版更新后,如果在设备中为 Windows 和 Linux 启用了双启动安装程序,则启动 Linux 可能会遇到问题。 由于此问题,设备可能无法启动 Linux 并显示错误消息“验证填充码 SBAT 数据失败:安全策略冲突”。 出现严重错误:SBAT 自检查失败:违反安全策略。”
2024 年 8 月 Windows 安全和预览版更新将安全启动高级目标 (SBAT) 设置应用于运行 Windows 的设备,以阻止旧的易受攻击的启动管理器。 此 SBAT 更新不会应用于检测到双重启动的设备。 在某些设备上,双启动检测未检测到某些自定义的双启动方法,并在不应应用 SBAT 值时应用了它。
重要: 仅安装 2024 年 8 月安全和预览版更新时才会出现此已知问题。 2024 年 9 月安全更新和更高版本更新不包含导致此问题的设置。
分辨率: 此问题已由 2025 年 5 月 13 日发布的 Windows 更新 (KB5058383) 及更高版本解决。 建议为设备安装最新更新,因为它包含重要的改进和问题解决方法,包括此更新。
注意: 在仅限 Windows 的系统上,安装 2024 年 9 月或更高版本的更新后,可以设置CVE-2022-2601 和 CVE-2023-40547 中 记录的注册表项,以确保应用 SBAT 安全更新。 在双启动 Linux 和 Windows 的系统上,安装 2024 年 9 月或更高版本的更新后,无需执行其他步骤。
受影响的平台:
- 客户端:Windows 11版本 23H2;Windows 11版本 22H2;Windows 11,版本 21H2;Windows 10版本 22H2;Windows 10版本 21H2;Windows 10 企业版 2015 长期服务
- 服务器:Windows Server 2022;Windows Server 2019;Windows Server 2016;Windows Server 2012 R2;Windows Server 2012
使用 LPD 协议的打印作业可能会因 2024 年 7 月安全更新而失败
| 状态 | 原始更新 | 历史记录 |
|---|---|---|
| 已解决 KB5041773 | OS 内部版本 14393.7159 KB5040434 2024-07-09 | 已解决:2024-08-13,10:00(PT) 打开时间:2024-08-09,16:46(PT) |
安装 2024 年 7 月 9 日发布的 Windows 安全更新(2024 年 7 月 9 日), (KB5040434) 及更高版本更新后,在尝试使用行打印机守护程序 (LPD) 协议(这是已 弃用 的协议)打印文档时可能会遇到问题。
人员将家庭版或专业版 Windows 用于个人使用不太可能遇到此问题,因为 LDP 是 IT 部门更经常用来在打印机或服务器上接收打印作业的协议。
注意:已弃用 行打印机守护程序协议 (LPR/LPD) 。 最终删除此功能后,使用此协议打印到服务器的客户端(如 UNIX 客户端)将无法连接或打印。 相反,UNIX 客户端应使用 IPP。 Windows 客户端可以使用 Windows Standard 端口监视器连接到 UNIX 共享打印机。
分辨率: 此问题由 2024 年 8 月 13 日发布的 Windows 2024 年 8 月 13 日安全更新 (KB5041773) 及更高版本更新解决。 建议为设备安装最新更新。 它包含重要的改进和问题解决方法,包括此改进。
受影响的平台:
- 客户端:无
- 服务器:Windows Server 2022;Windows Server 2019;Windows Server 2016
2024 年 7 月
设备可能会通过 2024 年 7 月安全更新启动到 BitLocker 恢复
| 状态 | 原始更新 | 历史记录 |
|---|---|---|
| 已解决 KB5041773 | OS 内部版本 14393.7159 KB5040434 2024-07-09 | 已解决:2024-08-13,10:00(PT) 打开时间:2024-07-23,13:57(PT) |
安装 2024 年 7 月 9 日发布的 2024 年 7 月 Windows 安全更新后, (KB5040434) ,启动设备时可能会看到 BitLocker 恢复 屏幕。 此屏幕通常不会出现在 Windows 更新之后。 如果在“隐私&安全性 -> 设备加密”下的“设置”中启用了“设备加密”选项,则更有可能遇到此问题。 由于此问题,系统可能会提示你输入Microsoft帐户中的恢复密钥以解锁驱动器。
分辨率: 此问题已由 2024 年 8 月 13 日发布的 Windows 更新 (KB5041773) 及更高版本解决。 建议为设备安装最新更新,因为它包含重要的改进和问题解决方法,包括此更新。
如果安装 2024 年 8 月 13 日发布的更新 (KB5041773) 或更高版本,则无需对此问题使用解决方法。 如果使用的是 2024 年 8 月 13 日之前发布的更新,并且存在此问题,则输入恢复密钥后,设备应继续从 BitLocker 恢复屏幕正常启动。 可以使用 Microsoft 帐户登录到 BitLocker 恢复屏幕门户 来检索恢复密钥。 下面列出了查找恢复密钥的详细步骤: 在 Windows 中查找 BitLocker 恢复密钥。
受影响的平台:
- 客户端:Windows 11版本 23H2、Windows 11 版本 22H2、Windows 11 版本 21H2、Windows 10 版本 22H2、Windows 10版本 21H2 Windows 10 企业版 2015 长期服务
- 服务器:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2 Windows Server2008
影响 Windows 终结点导致错误消息的 CrowdStrike 问题
| 状态 | 原始更新 | 历史记录 |
|---|---|---|
| 已解决的外部问题 | 不适用 | 上次更新时间:2024-08-05,16:07(PT) 打开时间:2024-07-19,07:30(PT) |
Microsoft已发现影响运行 CrowdStrike Holdings 开发的 CrowdStrike Falcon 代理的 Windows 终结点的问题。 在 CrowdStrike 于 2024 年 7 月 18 日发布和交付更新后,运行 Falcon 代理的设备可能会在蓝屏上遇到错误消息,并体验到持续重启状态。
受影响的系统可能会重复重启,并需要恢复作才能恢复正常使用。
更新时间:2024 年 7 月 25 日: Microsoft发布了有关 Windows 复原的进一步指南 :最佳做法和前进道路。 详细了解我们如何密切合作,提高整个 Windows 生态系统的复原能力,并探索可用于支持组织中的复原能力的最佳做法。
更新时间:2024 年 7 月 22 日: Microsoft针对此问题发布了影响 Windows 客户端和服务器的第三个缓解选项。 如果设备无法使用下面提到的两个选项恢复,IT 管理员可以使用 PXE 进行修正。 有关使用 PXE 恢复的先决条件和配置的详细说明,请参阅经修订 的新恢复工具,以帮助解决影响 Windows 终结点 的 CrowdStrike 问题。
更新时间:2024 年 7 月 21 日: 作为影响 Windows 客户端和服务器的 CrowdStrike Falcon 代理问题的后续作,Microsoft发布了一个更新 的恢复工具,其中包含 两个 修复选项 ,以帮助 IT 管理员加快修复过程。 根据客户反馈,此新版本包括使用安全启动进行恢复的新选项、生成 ISO 或 USB 的选项、安装 Windows 驱动程序工具包时的 ADK 检测修复,以及 USB 磁盘大小检查修复。 有关使用已签名的 Microsoft恢复工具的详细说明,请参阅经修订的新恢复工具,以帮助解决影响 Windows 终结点的 CrowdStrike 问题。
更新时间:2024 年 7 月 20 日: Microsoft已发布 KB5042426,其中包含运行 CrowdStrike Falcon 代理并在蓝屏上遇到0x50或0x7E错误消息的本地托管 Windows Server 的分步指南。 我们将继续与 CrowdStrike 合作,提供有关此问题的最新信息。
新的 USB 恢复工具可用于帮助 IT 管理员加快修复过程。 可以在 Microsoft下载中心找到新工具。 有关新恢复工具和用法说明的详细信息,请参阅 新的恢复工具,以帮助解决影响 Windows 终结点的 CrowdStrike 问题。
更新时间:2024 年 7 月 19 日: 新的知识库文章KB5042421,其中包含有关Windows 11和Windows 10客户端的其他分步指南。 我们将继续与 CrowdStrike 合作,在发布时提供最新的缓解信息。
若要在使用其他解决方法选项之前缓解此问题,可以按照以下步骤作:
- 将 Windows 启动到安全模式或 Windows 恢复环境。
- 导航到 C:\Windows\System32\drivers\CrowdStrike 目录
- 找到匹配“C-00000291*.sys”的文件并将其删除。
- 重启设备。
- 在某些情况下,恢复系统需要 Bitlocker 密钥 。
对于在 Azure 上运行的 Windows 虚拟机,请按照 Azure 状态中的缓解步骤作。
有关 CrowdStrike 的其他详细信息,请参阅: Windows 传感器更新上的语句 - CrowdStrike 博客。
受影响的平台:
- 客户端:Windows 11版本 23H2;Windows 11版本 22H2;Windows 11,版本 21H2;Windows 10版本 22H2;Windows 10版本 21H2;Windows 10 企业版 LTSC 2019
- 服务器:Windows Server 2022;Windows Server 2016;Windows Server 2012 R2;Windows Server 2012;Windows Server 2008 R2 SP1;Windows Server 2008 SP2
2022 年 2 月
应用或设备可能无法创建 Netlogon 安全通道连接
| 状态 | 原始更新 | 历史记录 |
|---|---|---|
| 已解决的外部问题 | OS 内部版本 14393.4886 KB5009546 2022-01-11 | 上次更新时间:2024-08-20,16:29(PT) 打开时间:2022-02-24,17:25(PT) |
在域控制器上安装 KB5009546 或任何 2022 年 1 月 11 日及更高版本发布的更新后,依赖于 只读域控制器 (RODC) 或合成 RODC 计算机帐户的方案可能无法建立 Netlogon 安全通道。 RODC 帐户必须具有链接且合规 的 KRBTGT 帐户 才能成功建立 安全通道。 受影响的应用程序或网络设备(如 Riverbed SteelHead WAN 优化器)在加入域后可能会出现问题或限制。
后续步骤: 受影响的应用和网络设备需要其开发人员或制造商的更新来解决此问题。 Microsoft提供了以下有关 Riverbed Technology 中配置为 RODC 的设备的文档: 有关配置为 RODC 的 Riverbed Technology 设备的信息。 有关适用于其他网络设备的更多详细信息或解决方法指南,请联系设备的开发人员或制造商。
受影响的平台:
- 服务器:Windows Server 2022;Windows Server 2019;Windows Server 2016;Windows Server 2012 R2;Windows Server 2012;Windows Server 2008 R2 SP1;Windows Server 2008 SP2
报告 Windows 更新问题
若要随时向Microsoft报告问题,请使用 反馈中心 应用。 若要了解详细信息,请参阅 使用反馈中心应用向Microsoft发送反馈。
需要 Windows 更新帮助吗?
在Microsoft 支持部门社区中搜索、浏览或提问。 如果你是支持组织的 IT 专业人员,请访问Microsoft 365 管理中心上的 Windows 版本运行状况,了解更多详细信息。
有关家庭电脑的直接帮助,请使用 Windows 中的“获取帮助”应用或联系Microsoft 支持部门。 组织可以通过 业务支持请求即时支持。
以你的语言查看此网站
该网站提供 11 种语言:英语、繁体中文、简体中文、法语 (法国) 、德语、意大利语、日语、韩语、葡萄牙语 (巴西) 、俄语和西班牙语 (西班牙) 。 如果浏览器默认语言不是 11 种受支持的语言之一,则所有文本将以英语显示。 若要手动更改显示语言,请向下滚动到此页面底部,单击页面左下角显示的当前语言,并从列表中选择 11 种支持的语言之一。