Updates van november kunnen ertoe leiden dat Windows Server vastloopt en opnieuw wordt opgestart

Na het installeren van de November Updates voor Windows Server kan er een geheugenlek optreden in de LSASS-service, waardoor domeincontrollers uiteindelijk kunnen vastlopen en opnieuw opstarten. De LSASS-service (afkorting van Local Security Authority Subsystem Service) is verantwoordelijk voor het afdwingen van beveiligingsbeleid, het maken van tokens, wachtwoordwijzigingen en gebruikersautorisatie in het systeem.
Microsoft vermeld het volgende.

Na het installeren van KB5019966 of latere updates op domeincontrollers (DC's), kunt u een geheugenlek ervaren met Local Security Authority Subsystem Service (LSASS, exe). Afhankelijk van de werklast van uw DC's en de hoeveelheid tijd sinds de laatste herstart van de server, kan LSASS dat doen verhoog voortdurend het geheugengebruik met de up-time van uw server en de server reageert mogelijk niet meer of automatisch opnieuw opstarten. Opmerking: de out-of-band updates voor DC's die op 17 november 2022 en 18 november 2022 zijn uitgebracht, kunnen door dit probleem worden beïnvloed.

Het probleem treft Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1 en Windows Server 2008 SP2. Het installeren van out-of-band updates die zijn uitgebracht om autorisatieproblemen op domeincontrollers op te lossen, verhelpt het geheugenlek niet. Microsoft werkt nog aan een oplossing.

Als tijdelijke oplossing kunt u de KrbtgtFullPacSignature-registerwaarde instellen op 0 met de volgende opdracht:
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
Geef het uit als beheerder.
Na het uitbrengen van de hotfix moet u een hogere waarde instellen voor de sleutel KrbtgtFullPacSignature, volgens de onderstaande referentietabel.

• 0 - Gehandicapt
• 1 – Nieuwe handtekeningen zijn toegevoegd, maar niet geverifieerd. (Standaardinstelling)
• 2 - Auditmodus. Nieuwe handtekeningen worden toegevoegd en indien aanwezig geverifieerd. Als de handtekening ontbreekt of ongeldig is, is authenticatie toegestaan ​​en worden auditlogboeken gemaakt.
• 3 - Handhavingsmodus. Nieuwe handtekeningen worden toegevoegd en indien aanwezig geverifieerd. Als de handtekening ontbreekt of ongeldig is, wordt de authenticatie geweigerd en worden auditlogboeken gemaakt.