November-opdateringer kan forårsage, at Windows Server hænger og genstarter

Efter installation af november-opdateringerne til Windows Server kan der forekomme en hukommelseslækage i LSASS-tjenesten, som i sidste ende kan få domænecontrollere til at hænge og genstarte. LSASS-tjenesten (forkortelse for Local Security Authority Subsystem Service) er ansvarlig for håndhævelse af sikkerhedspolitikker, håndtering af token-oprettelse, adgangskodeændringer og brugerautorisation i systemet.

Microsoft anført det følgende.

Efter installation af KB5019966 eller nyere opdateringer på domænecontrollere (DC'er), kan du opleve en hukommelseslækage med Local Security Authority Subsystem Service (LSASS, exe). Afhængigt af arbejdsbelastningen af ​​dine DC'er og mængden af ​​tid siden sidste genstart af serveren, kan LSASS muligvis øger løbende hukommelsesforbruget med din servers oppetid, og serveren reagerer muligvis ikke eller automatisk genstart. Bemærk: Out-of-band-opdateringerne til DC'er udgivet 17. november 2022 og 18. november 2022 kan blive påvirket af dette problem.

Problemet påvirker Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1 og Windows Server 2008 SP2. Installation af out-of-band-opdateringer, der blev udgivet for at løse godkendelsesproblemer på domænecontrollere, løser ikke hukommelseslækagen. Microsoft arbejder stadig på en løsning.

Som en løsning kan du indstille KrbtgtFullPacSignature Registry-værdien til 0 med følgende kommando:
reg tilføj "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
Udsted det som administrator.
Efter udgivelsen af ​​hotfixet skal du indstille en højere værdi for nøglen KrbtgtFullPacSignature, efter referencetabellen nedenfor.

• 0 - Handicappet
• 1 – Nye signaturer tilføjes, men verificeres ikke. (Standardindstilling)
• 2 - Revisionstilstand. Nye signaturer tilføjes og bekræftes, hvis de er til stede. Hvis signaturen enten mangler eller er ugyldig, tillades godkendelse, og der oprettes revisionslogfiler.
• 3 - Håndhævelsestilstand. Nye signaturer tilføjes og bekræftes, hvis de er til stede. Hvis signaturen enten mangler eller er ugyldig, afvises godkendelse, og der oprettes revisionslogfiler.