Microsoftu stwierdziłnastępujące.Po zainstalowaniu aktualizacji KB5019966 lub nowszej na kontrolerach domeny (DC) może wystąpić wyciek pamięci w ramach usługi podsystemu urzędu zabezpieczeń lokalnych (LSASS,exe). W zależności od obciążenia kontrolerów domeny i ilości czasu od ostatniego ponownego uruchomienia serwera, LSASS może stale zwiększać użycie pamięci wraz z czasem pracy serwera, a serwer może przestać odpowiadać lub zostać automatycznie uruchomiony ponownie. Uwaga: ten problem może dotyczyć aktualizacji pozapasmowych dla kontrolerów domeny wydanych 17 listopada 2022 r. i 18 listopada 2022 r.
Problem dotyczy systemów Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1 i Windows Server 2008 SP2. Zainstalowanie aktualizacji pozapasmowych wydanych w celu rozwiązania problemów z autoryzacją na kontrolerach domeny nie naprawia wycieku pamięci. Microsoft wciąż pracuje nad rozwiązaniem.
W ramach obejścia można ustawić wartość rejestru KrbtgtFullPacSignature na 0 za pomocą następującego polecenia:
|_+_|
Wydaj go jako Administrator.
Po wydaniu poprawki należy ustawić wyższą wartość klucza KrbtgtFullPacSignature, zgodnie z poniższą tabelą referencyjną.
- 0- Wyłączony
- 1– Nowe podpisy są dodawane, ale nie są weryfikowane. (Ustawienia domyślne)
- 2- Tryb audytu. Dodawane są nowe podpisy i weryfikowane, jeśli są obecne. Jeśli brakuje podpisu lub jest on nieprawidłowy, uwierzytelnianie jest dozwolone i tworzone są dzienniki kontroli.
- 3- Tryb egzekwowania. Dodawane są nowe podpisy i weryfikowane, jeśli są obecne. Jeśli brakuje podpisu lub jest on nieprawidłowy, uwierzytelnianie zostaje odrzucone i tworzone są dzienniki kontroli.
