November-Updates können dazu führen, dass Windows Server hängt und neu startet
Nach der Installation der November-Updates für Windows Server kann im LSASS-Dienst ein Speicherverlust auftreten, der schließlich dazu führen kann, dass Domänencontroller hängen bleiben und neu gestartet werden. Dafür ist der Dienst LSASS (kurz für Local Security Authority Subsystem Service) zuständig Durchsetzung von Sicherheitsrichtlinien, Handhabung der Token-Erstellung, Kennwortänderungen und Benutzerautorisierung in das System.
Nach der Installation von KB5019966 oder neueren Updates auf Domänencontrollern (DCs) kann es beim Local Security Authority Subsystem Service (LSASS, exe) zu einem Speicherverlust kommen. Abhängig von der Auslastung Ihrer DCs und der Zeit seit dem letzten Neustart des Servers kann LSASS erhöhen Sie die Speicherauslastung kontinuierlich mit der Betriebszeit Ihres Servers und der Server reagiert möglicherweise nicht mehr oder automatisch neu starten. Hinweis: Die Out-of-Band-Updates für DCs, die am 17. November 2022 und am 18. November 2022 veröffentlicht wurden, sind möglicherweise von diesem Problem betroffen.
Das Problem betrifft Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1 und Windows Server 2008 SP2. Das Installieren von Out-of-Band-Updates, die zum Beheben von Autorisierungsproblemen auf Domänencontrollern veröffentlicht wurden, behebt das Speicherleck nicht. Microsoft arbeitet noch an einer Lösung.
Als Problemumgehung können Sie den Registrierungswert KrbtgtFullPacSignature mit dem folgenden Befehl auf 0 setzen:reg fügen Sie "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD hinzu
Geben Sie es als Administrator aus.
Nach der Veröffentlichung des Hotfixes müssen Sie gemäß der folgenden Referenztabelle einen höheren Wert für den Schlüssel KrbtgtFullPacSignature festlegen.
- 0 - Behinderte
- 1 – Neue Signaturen werden hinzugefügt, aber nicht verifiziert. (Standardeinstellung)
- 2 - Audit-Modus. Neue Signaturen werden hinzugefügt und, falls vorhanden, überprüft. Wenn die Signatur fehlt oder ungültig ist, wird die Authentifizierung zugelassen und Prüfprotokolle erstellt.
- 3 - Durchsetzungsmodus. Neue Signaturen werden hinzugefügt und, falls vorhanden, überprüft. Wenn die Signatur fehlt oder ungültig ist, wird die Authentifizierung verweigert und Überwachungsprotokolle erstellt.
Wenn Ihnen dieser Artikel gefällt, teilen Sie ihn bitte über die Schaltflächen unten. Es wird Ihnen nicht viel abverlangen, aber es wird uns helfen zu wachsen. Danke für deine Unterstützung!
