Novembrové aktualizácie môžu spôsobiť zamrznutie a reštart systému Windows Server

Po inštalácii novembrových aktualizácií pre Windows Server môže dôjsť k úniku pamäte v službe LSASS, čo môže nakoniec spôsobiť zamrznutie a reštartovanie radičov domény. Zodpovedná je služba LSASS (skratka pre Local Security Authority Subsystem Service). presadzovanie bezpečnostných zásad, spracovanie vytvárania tokenov, zmien hesiel a autorizácie používateľov systém.

Microsoft uviedol nasledujúci.

Po nainštalovaní aktualizácií KB5019966 alebo novších aktualizácií na radiče domén (DC) môže dôjsť k úniku pamäte so službou subsystému lokálneho bezpečnostného úradu (LSASS, exe). V závislosti od pracovného zaťaženia vašich DC a množstva času od posledného reštartu servera môže LSASS neustále zvyšujte využitie pamäte s časom prevádzky vášho servera a server môže prestať reagovať alebo automaticky reštartovať. Poznámka: Tento problém môže ovplyvniť aktualizácie mimo pásma pre DC vydané 17. novembra 2022 a 18. novembra 2022.

Problém sa týka Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1 a Windows Server 2008 SP2. Inštalácia aktualizácií mimo pásma, ktoré boli vydané na vyriešenie problémov s autorizáciou na radičoch domény, nevyrieši únik pamäte. Microsoft stále pracuje na riešení.

Ako alternatívne riešenie môžete nastaviť hodnotu databázy Registry KrbtgtFullPacSignature na 0 pomocou nasledujúceho príkazu:
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
Vydajte ho ako správca.
Po vydaní rýchlej opravy je potrebné nastaviť vyššiu hodnotu pre kľúč KrbtgtFullPacSignature podľa referenčnej tabuľky nižšie.

• 0 – Zakázané
• 1 – Nové podpisy sa pridávajú, ale neoverujú sa. (Predvolené nastavenie)
• 2 - Režim auditu. Pridajú sa nové podpisy a overia sa, ak existujú. Ak podpis chýba alebo je neplatný, autentifikácia je povolená a vytvoria sa protokoly auditu.
• 3 - Režim vymáhania. Pridajú sa nové podpisy a overia sa, ak existujú. Ak podpis chýba alebo je neplatný, autentifikácia sa zamietne a vytvoria sa protokoly auditu.