Gli aggiornamenti di novembre possono causare il blocco e il riavvio di Windows Server

Dopo aver installato gli aggiornamenti di novembre per Windows Server, potrebbe verificarsi una perdita di memoria nel servizio LSASS, che alla fine può causare il blocco e il riavvio dei controller di dominio. Il servizio LSASS (abbreviazione di Local Security Authority Subsystem Service) è responsabile di applicazione delle politiche di sicurezza, gestione della creazione di token, modifiche della password e autorizzazione dell'utente in il sistema.

Microsoft dichiarato il seguente.

Dopo aver installato gli aggiornamenti KB5019966 o successivi sui controller di dominio (DC), potrebbe verificarsi una perdita di memoria con il servizio del sottosistema dell'autorità di sicurezza locale (LSASS, exe). A seconda del carico di lavoro dei controller di dominio e della quantità di tempo dall'ultimo riavvio del server, LSASS potrebbe aumentare continuamente l'utilizzo della memoria con il tempo di attività del server e il server potrebbe non rispondere o riavviare automaticamente. Nota: gli aggiornamenti fuori banda per i controller di dominio rilasciati il ​​17 novembre 2022 e il 18 novembre 2022 potrebbero essere interessati da questo problema.

Il problema riguarda Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1 e Windows Server 2008 SP2. L'installazione di aggiornamenti fuori banda rilasciati per risolvere i problemi di autorizzazione nei controller di dominio non risolve la perdita di memoria. Microsoft sta ancora lavorando a una soluzione.

Come soluzione alternativa, puoi impostare il valore del registro KrbtgtFullPacSignature su 0 con il seguente comando:
reg aggiungi "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
Rilascialo come amministratore.
Dopo il rilascio dell'hotfix, è necessario impostare un valore più elevato per la chiave KrbtgtFullPacSignature, seguendo la tabella di riferimento riportata di seguito.

• 0 - Disabilitato
• 1 – Vengono aggiunte nuove firme, ma non verificate. (Impostazione predefinita)
• 2 - Modalità di controllo. Le nuove firme vengono aggiunte e verificate se presenti. Se la firma è mancante o non è valida, l'autenticazione è consentita e vengono creati registri di controllo.
• 3 - Modalità di applicazione. Le nuove firme vengono aggiunte e verificate se presenti. Se la firma è mancante o non è valida, l'autenticazione viene negata e vengono creati registri di controllo.