Ноемврийските актуализации може да доведат до блокиране и рестартиране на Windows Server

След инсталиране на актуализациите от ноември за Windows Server може да възникне изтичане на памет в услугата LSASS, което в крайна сметка може да доведе до увисване и рестартиране на домейн контролерите. Услугата LSASS (съкратено от Local Security Authority Subsystem Service) отговаря за прилагане на политики за сигурност, обработка на създаване на токени, промени на пароли и оторизация на потребители в системата.

Microsoft заяви следното.

След като инсталирате KB5019966 или по-нови актуализации на домейн контролери (DC), може да изпитате изтичане на памет с Local Security Authority Subsystem Service (LSASS, exe). В зависимост от натоварването на вашите DC и времето от последното рестартиране на сървъра, LSASS може непрекъснато увеличавайте използването на паметта с времето на работа на вашия сървър и сървърът може да спре да реагира или автоматично рестартиране. Забележка: Извънлентовите актуализации за DC, издадени на 17 ноември 2022 г. и 18 ноември 2022 г., може да бъдат засегнати от този проблем.

Проблемът засяга Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1 и Windows Server 2008 SP2. Инсталирането на актуализации извън обхвата, които са били пуснати за разрешаване на проблеми с оторизацията на домейн контролери, не коригира изтичането на памет. Microsoft все още работи върху решение.

Като заобиколно решение можете да зададете стойността на регистъра KrbtgtFullPacSignature на 0 със следната команда:
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
Издайте го като администратор.
След издаването на актуалната корекция трябва да зададете по-висока стойност за ключа KrbtgtFullPacSignature, като следвате референтната таблица по-долу.

• 0 - Хора с увреждания
• 1 – Добавят се нови подписи, но не се проверяват. (Настройки по подразбиране)
• 2 - Режим на одит. Добавят се нови подписи и се проверяват, ако има такива. Ако подписът липсва или е невалиден, удостоверяването е разрешено и се създават журнали за проверка.
• 3 - Режим на изпълнение. Добавят се нови подписи и се проверяват, ако има такива. Ако подписът липсва или е невалиден, удостоверяването се отказва и се създават журнали за проверка.