Kasım Güncellemeleri, Windows Server'ın askıda kalmasına ve yeniden başlatılmasına neden olabilir

Windows Server için Kasım Güncelleştirmeleri yüklendikten sonra, LSASS hizmetinde, etki alanı denetleyicilerinin askıda kalmasına ve yeniden başlatılmasına neden olabilecek bir bellek sızıntısı meydana gelebilir. LSASS hizmeti (Yerel Güvenlik Yetkilisi Alt Sistem Hizmetinin kısaltması) şunlardan sorumludur: güvenlik politikalarını uygulama, belirteç oluşturma, parola değişiklikleri ve kullanıcı yetkilendirme işlemlerini gerçekleştirme sistem.
Microsoft belirtilmiş aşağıdaki.

Etki Alanı Denetleyicilerine (DC'ler) KB5019966 veya sonraki güncelleştirmeleri yükledikten sonra, Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti'nde (LSASS, exe) bellek sızıntısı yaşayabilirsiniz. DC'lerinizin iş yüküne ve sunucunun en son yeniden başlatılmasından bu yana geçen süreye bağlı olarak LSASS, sunucunuzun çalışma süresiyle birlikte bellek kullanımını sürekli olarak artırın ve sunucu yanıt vermeyebilir veya otomatik olarak yeniden başlatın. Not: DC'ler için 17 Kasım 2022 ve 18 Kasım 2022'de yayınlanan bant dışı güncellemeler bu sorundan etkilenebilir.

Sorun, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1 ve Windows Server 2008 SP2'yi etkilemektedir. Etki alanı denetleyicilerindeki yetkilendirme sorunlarını çözmek için yayınlanan bant dışı güncelleştirmeleri yüklemek, bellek sızıntısını düzeltmez. Microsoft hala bir çözüm üzerinde çalışıyor.

Geçici bir çözüm olarak, aşağıdaki komutla KrbtgtFullPacSignature Registry değerini 0 olarak ayarlayabilirsiniz:
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
Yönetici olarak yayınlayın.
Düzeltmenin yayımlanmasından sonra, aşağıdaki başvuru tablosunu izleyerek KrbtgtFullPacSignature anahtarı için daha yüksek bir değer ayarlamanız gerekir.

• 0 - Engelli
• 1 – Yeni imzalar eklenir, ancak doğrulanmaz. (Varsayılan ayarlar)
• 2 - Denetim modu. Yeni imzalar eklenir ve varsa doğrulanır. İmza eksik veya geçersizse kimlik doğrulamaya izin verilir ve denetim günlükleri oluşturulur.
• 3 - Uygulama modu. Yeni imzalar eklenir ve varsa doğrulanır. İmza eksik veya geçersizse kimlik doğrulama reddedilir ve denetim günlükleri oluşturulur.