As part of our ongoing commitment to security, we’re introducing a hardening change to the Microsoft RPC Netlogon protocol. This update strengthens access controls by blocking anonymous RPC requests that could previously be used to locate domain controllers. This change is not configurable and cannot be reverted via policy.

 

After installing the applicable Windows security update, Active Directory domain controllers will reject certain anonymous RPC requests made through the Netlogon RPC server. These requests are typically used for domain controller location and may impact interoperability with some third-party file and print services, including Samba.

 

If your organization uses Samba or similar services, you may experience disruptions unless those services are updated to comply with the new access requirements. 

 

This change has been documented in the KB articles associated to the updates introducing the new security hardening:

 

セキュリティに対する継続的な取り組みの一環として、 Microsoft RPC Netlogon プロトコルに強化的な変更を導入します。 この更新により、以前はドメイン コントローラーの検索に使用されていた匿名の RPC 要求をブロックすることで、アクセス制御が強化されます。 この変更は構成できず 、  ポリシーを使用して元に戻す ことはできません。

 

該当する Windows セキュリティ更新プログラムをインストールした後、Active Directory ドメイン コントローラは、 Netlogon RPC サーバーを通じて行われた特定の匿名 RPC リクエスト を拒否します。 これらのリクエストは通常、ドメイン コントローラの場所として使用され、Samba を含む 一部のサードパーティのファイルおよび印刷サービスとの相互運用性に影響を与える可能性があります。

 

組織で Samba または同様のサービスを使用している場合、これらのサービスが新しいアクセス要件に準拠するように更新されない限り、中断が発生する可能性があります。 

 

この変更は、新しいセキュリティ強化の導入に関する更新プログラムに関連するサポート技術情報の記事に記載されています。