Ноябрьские обновления могут привести к зависанию и перезапуску Windows Server

После установки ноябрьских обновлений для Windows Server может возникнуть утечка памяти в службе LSASS, что в итоге может привести к зависанию и перезагрузке контроллеров домена. Служба LSASS (сокращение от Local Security Authority Subsystem Service) отвечает за применение политик безопасности, обработка создания токенов, смены пароля и авторизации пользователей в система.

Майкрософт заявил следующее.

После установки KB5019966 или более поздних обновлений на контроллерах домена (DC) может возникнуть утечка памяти в службе подсистемы локального органа безопасности (LSASS, exe). В зависимости от рабочей нагрузки ваших контроллеров домена и времени, прошедшего с момента последнего перезапуска сервера, LSASS может постоянно увеличивайте использование памяти со временем работы вашего сервера, и сервер может перестать отвечать или автоматический перезапуск. Примечание. Эта проблема может затрагивать внеплановые обновления для контроллеров домена, выпущенные 17 ноября 2022 г. и 18 ноября 2022 г.

Проблема затрагивает Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1 и Windows Server 2008 SP2. Установка внеплановых обновлений, выпущенных для решения проблем с авторизацией на контроллерах домена, не устраняет утечку памяти. Microsoft все еще работает над решением.

В качестве обходного пути вы можете установить для параметра реестра KrbtgtFullPacSignature значение 0 с помощью следующей команды:
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
Выпустите его как Администратор.
После выпуска исправления необходимо установить более высокое значение для ключа KrbtgtFullPacSignature, следуя приведенной ниже справочной таблице.

• 0 - Неполноценный
• 1 – Новые подписи добавляются, но не проверяются. (Настройки по умолчанию)
• 2 - Режим аудита. Добавляются новые подписи и проверяются, если они есть. Если подпись отсутствует или недействительна, разрешается аутентификация и создаются журналы аудита.
• 3 - Режим принудительного исполнения. Добавляются новые подписи и проверяются, если они есть. Если подпись отсутствует или недействительна, аутентификация отклоняется и создаются журналы аудита.