Listopadowe aktualizacje mogą powodować zawieszanie się i ponowne uruchamianie systemu Windows Server

Po zainstalowaniu listopadowych aktualizacji dla systemu Windows Server może wystąpić wyciek pamięci w usłudze LSASS, co może ostatecznie spowodować zawieszenie się i ponowne uruchomienie kontrolerów domeny. Za obsługę odpowiada usługa LSASS (skrót od Local Security Authority Subsystem Service). egzekwowanie zasad bezpieczeństwa, obsługa tworzenia tokenów, zmiany haseł i autoryzacja użytkowników w system.

Microsoftu stwierdził następujące.

Po zainstalowaniu aktualizacji KB5019966 lub nowszych na kontrolerach domeny (DC) może wystąpić wyciek pamięci z usługą podsystemu lokalnego urzędu bezpieczeństwa (LSASS, exe). W zależności od obciążenia Twoich kontrolerów domeny i czasu, jaki upłynął od ostatniego ponownego uruchomienia serwera, LSASS może stale zwiększaj zużycie pamięci wraz z czasem pracy serwera, a serwer może przestać odpowiadać lub automatycznie ponownie uruchomić. Uwaga: ten problem może mieć wpływ na aktualizacje poza pasmem dla kontrolerów domeny wydane 17 listopada 2022 r. i 18 listopada 2022 r.

Problem dotyczy systemów Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 z dodatkiem SP1 i Windows Server 2008 z dodatkiem SP2. Instalowanie aktualizacji poza pasmem, które zostały wydane w celu rozwiązania problemów z autoryzacją na kontrolerach domeny, nie rozwiązuje wycieku pamięci. Microsoft wciąż pracuje nad rozwiązaniem.

Aby obejść ten problem, możesz ustawić wartość rejestru KrbtgtFullPacSignature na 0 za pomocą następującego polecenia:
reg dodaj "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
Wydaj jako Administrator.
Po wydaniu poprawki należy ustawić wyższą wartość klucza KrbtgtFullPacSignature, zgodnie z poniższą tabelą.

• 0 - Wyłączony
• 1 – Nowe podpisy są dodawane, ale nie weryfikowane. (Ustawienia domyślne)
• 2 - Tryb audytu. Nowe podpisy są dodawane i weryfikowane, jeśli są obecne. Jeśli brakuje podpisu lub jest on nieprawidłowy, uwierzytelnianie jest dozwolone i tworzone są dzienniki kontroli.
• 3 - Tryb egzekwowania. Nowe podpisy są dodawane i weryfikowane, jeśli są obecne. Jeśli brakuje podpisu lub jest on nieprawidłowy, uwierzytelnianie jest odrzucane i tworzone są dzienniki kontroli.