November-oppdateringer kan føre til at Windows Server henger og starter på nytt

Etter å ha installert novemberoppdateringene for Windows Server, kan det oppstå en minnelekkasje i LSASS-tjenesten, som til slutt kan føre til at domenekontrollere henger og starter på nytt. LSASS-tjenesten (forkortelse for Local Security Authority Subsystem Service) er ansvarlig for håndheve sikkerhetspolicyer, håndtere tokenoppretting, passordendringer og brukerautorisasjon i systemet.
Microsoft oppgitt følgende.

Etter å ha installert KB5019966 eller nyere oppdateringer på domenekontrollere (DC), kan du oppleve en minnelekkasje med Local Security Authority Subsystem Service (LSASS, exe). Avhengig av arbeidsbelastningen til DC-ene og hvor lang tid siden siste omstart av serveren, kan LSASS kontinuerlig øke minnebruken med oppetiden til serveren din og serveren kan slutte å reagere eller automatisk omstart. Merk: Out-of-band-oppdateringene for DC-er utgitt 17. november 2022 og 18. november 2022 kan bli påvirket av dette problemet.

Problemet påvirker Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1 og Windows Server 2008 SP2. Å installere out-of-band-oppdateringer som ble utgitt for å løse autorisasjonsproblemer på domenekontrollere, fikser ikke minnelekkasjen. Microsoft jobber fortsatt med en løsning.

Som en løsning kan du sette KrbtgtFullPacSignature Registry-verdien til 0 med følgende kommando:
reg legg til "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
Utsted det som administrator.
Etter utgivelsen av hurtigreparasjonen må du angi en høyere verdi for nøkkelen KrbtgtFullPacSignature, etter referansetabellen nedenfor.

• 0 - Funksjonshemmet
• 1 – Nye signaturer legges til, men ikke verifisert. (Standardinnstilling)
• 2 - Revisjonsmodus. Nye signaturer legges til, og verifiseres hvis tilstede. Hvis signaturen enten mangler eller er ugyldig, tillates autentisering og revisjonslogger opprettes.
• 3 - Håndhevingsmodus. Nye signaturer legges til, og verifiseres hvis tilstede. Hvis signaturen enten mangler eller er ugyldig, nektes autentisering og revisjonslogger opprettes.