Les mises à jour de novembre peuvent entraîner le blocage et le redémarrage de Windows Server

Après l'installation des mises à jour de novembre pour Windows Server, une fuite de mémoire peut se produire dans le service LSASS, ce qui peut éventuellement entraîner le blocage et le redémarrage des contrôleurs de domaine. Le service LSASS (abréviation de Local Security Authority Subsystem Service) est responsable de appliquer des politiques de sécurité, gérer la création de jetons, les changements de mot de passe et l'autorisation des utilisateurs dans le système.

Microsoft déclaré ce qui suit.

Après avoir installé KB5019966 ou des mises à jour ultérieures sur les contrôleurs de domaine (DC), vous pouvez rencontrer une fuite de mémoire avec le service de sous-système de l'autorité de sécurité locale (LSASS, exe). En fonction de la charge de travail de vos contrôleurs de domaine et du temps écoulé depuis le dernier redémarrage du serveur, LSASS peut augmentez continuellement l'utilisation de la mémoire avec le temps de disponibilité de votre serveur et le serveur peut ne plus répondre ou redémarrer automatiquement. Remarque: les mises à jour hors bande pour les contrôleurs de domaine publiées le 17 novembre 2022 et le 18 novembre 2022 peuvent être affectées par ce problème.

Le problème concerne Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1 et Windows Server 2008 SP2. L'installation de mises à jour hors bande publiées pour résoudre les problèmes d'autorisation sur les contrôleurs de domaine ne résout pas la fuite de mémoire. Microsoft travaille toujours sur une solution.

Pour contourner le problème, vous pouvez définir la valeur du registre KrbtgtFullPacSignature sur 0 avec la commande suivante :
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
Émettez-le en tant qu'administrateur.
Après la publication du correctif, vous devez définir une valeur plus élevée pour la clé KrbtgtFullPacSignature, en suivant le tableau de référence ci-dessous.

• 0 - Désactivé
• 1 – De nouvelles signatures sont ajoutées, mais non vérifiées. (Paramètres par défaut)
• 2 - Mode vérification. De nouvelles signatures sont ajoutées et vérifiées si elles sont présentes. Si la signature est manquante ou non valide, l'authentification est autorisée et des journaux d'audit sont créés.
• 3 - Mode d'exécution. De nouvelles signatures sont ajoutées et vérifiées si elles sont présentes. Si la signature est manquante ou non valide, l'authentification est refusée et des journaux d'audit sont créés.