As atualizações de novembro podem fazer com que o Windows Server trave e reinicie

Depois de instalar as atualizações de novembro para o Windows Server, pode ocorrer um vazamento de memória no serviço LSASS, o que pode fazer com que os controladores de domínio travem e reiniciem. O serviço LSASS (abreviação de Local Security Authority Subsystem Service) é responsável por aplicação de políticas de segurança, gerenciamento de criação de token, alterações de senha e autorização de usuário em o sistema.

Microsoft declarou a seguir.

Depois de instalar KB5019966 ou atualizações posteriores em controladores de domínio (DCs), você pode ter um vazamento de memória com o serviço de subsistema de autoridade de segurança local (LSASS, exe). Dependendo da carga de trabalho de seus controladores de domínio e da quantidade de tempo desde a última reinicialização do servidor, o LSASS pode aumente continuamente o uso de memória com o tempo de atividade do seu servidor e o servidor pode parar de responder ou reiniciar automaticamente. Observação: as atualizações fora de banda para DCs lançadas em 17 de novembro de 2022 e 18 de novembro de 2022 podem ser afetadas por esse problema.

O problema afeta o Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1 e Windows Server 2008 SP2. A instalação de atualizações fora de banda lançadas para resolver problemas de autorização em controladores de domínio não corrige o vazamento de memória. A Microsoft ainda está trabalhando em uma solução.

Como solução alternativa, você pode definir o valor do Registro KrbtgtFullPacSignature como 0 com o seguinte comando:
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
Emita-o como Administrador.
Após o lançamento do hotfix, você precisa definir um valor mais alto para a chave KrbtgtFullPacSignature, seguindo a tabela de referência abaixo.

• 0 - Desabilitado
• 1 – Novas assinaturas são adicionadas, mas não verificadas. (Configuração padrão)
• 2 - Modo de auditoria. Novas assinaturas são adicionadas e verificadas, se presentes. Se a assinatura estiver faltando ou for inválida, a autenticação é permitida e os logs de auditoria são criados.
• 3 - Modo de execução. Novas assinaturas são adicionadas e verificadas, se presentes. Se a assinatura estiver ausente ou for inválida, a autenticação é negada e os logs de auditoria são criados.