Actualizările din noiembrie pot cauza blocarea și repornirea Windows Server

După instalarea actualizărilor din noiembrie pentru Windows Server, poate apărea o scurgere de memorie în serviciul LSASS, ceea ce poate cauza în cele din urmă blocarea și repornirea controlerelor de domeniu. Serviciul LSASS (prescurtare de la Local Security Authority Subsystem Service) este responsabil pentru aplicarea politicilor de securitate, gestionarea creării de jetonuri, modificările parolei și autorizarea utilizatorului în sistemul.

Microsoft stabilit următoarele.

După instalarea KB5019966 sau a actualizărilor ulterioare pe controlere de domeniu (DC), este posibil să întâmpinați o scurgere de memorie cu Serviciul de subsistem al autorității locale de securitate (LSASS, exe). În funcție de volumul de lucru al DC-urilor dvs. și de timpul de la ultima repornire a serverului, LSASS poate crește continuu utilizarea memoriei odată cu timpul de funcționare al serverului și serverul ar putea să nu mai răspundă sau reporniți automat. Notă: Actualizările în afara benzii pentru DC-uri lansate pe 17 noiembrie 2022 și 18 noiembrie 2022 ar putea fi afectate de această problemă.

Problema afectează Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1 și Windows Server 2008 SP2. Instalarea actualizărilor în afara bandă care au fost lansate pentru a rezolva problemele de autorizare pe controlerele de domeniu nu remediază pierderea de memorie. Microsoft încă lucrează la o soluție.

Ca o soluție, puteți seta valoarea KrbtgtFullPacSignature Registry la 0 cu următoarea comandă:
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
Emite-l ca administrator.
După lansarea remedierii rapide, trebuie să setați o valoare mai mare pentru cheia KrbtgtFullPacSignature, urmând tabelul de referință de mai jos.

• 0 - Dezactivat
• 1 – Sunt adăugate semnături noi, dar nu sunt verificate. (Setare implicită)
• 2 - Modul de audit. Sunt adăugate noi semnături și verificate dacă sunt prezente. Dacă semnătura lipsește sau este invalidă, autentificarea este permisă și se creează jurnalele de audit.
• 3 - Modul de aplicare. Sunt adăugate noi semnături și verificate dacă sunt prezente. Dacă semnătura lipsește sau este invalidă, autentificarea este refuzată și sunt create jurnalele de audit.