Контроллеры домена Windows Server могут останавливаться и перезапускаться после последних обновлений

Microsoft намечает обходной путь, собирая исправление утечки памяти LSASS.

Контроллеры домена Windows Server могут останавливаться и перезапускаться после последних обновлений. Фото: СС0

По словам администрации Microsoft, обновления для Windows Server, выпущенные в рамках вторника исправлений в этом месяце, могут привести к прекращению работы или автоматическому перезапуску некоторых контроллеров домена.

Представитель компании заявил, что организации, устанавливающие KB5019966 или более поздние обновления на контроллерах домена (DC), могут столкнуться с утечкой памяти в службе подсистемы локального органа безопасности (LSASS).

Из сообщения компании:

«В зависимости от рабочей нагрузки ваших контроллеров домена и времени, прошедшего с момента последнего перезапуска сервера, LSASS может постоянно увеличивать использование памяти со временем безотказной работы вашего сервера, и сервер может перестать отвечать на запросы или автоматически перезапускаться».

Эта проблема также может затронуть внеполосные (OOB) обновления для контроллеров домена, выпущенные 17 и 18 ноября.

LSASS — это процесс Windows на контроллере домена Active Directory, который используется для обеспечения соблюдения политики безопасности в операционной системе. В его задачи входит обеспечение поиска в базе данных Active Directory, аутентификация и репликация. Он аутентифицирует и проверяет пользователей, которые хотят войти в систему Windows, управляет сменой паролей и создает маркеры доступа.

Это становится все более важным инструментом в то время, когда группы угроз больше обращают внимание на удостоверения для доступа к корпоративным сетям.

Проблема затрагивает версии Windows Server 2008 SP2 и R2 SP1, 2012 и 2012 R2, 2016 и 2019.

Инженеры Microsoft работают над исправлением, которое появится в виде обновления в следующем выпуске.

Тем временем, компания предлагает обходной путь для пользователей, которые могут открыть командную строку от имени администратора, чтобы установить для ключа реестра KrbtgtFullPacSignature значение «0».

После открытия командной строки от имени администратора они могут использовать команду:

reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD

Из сообщения компании:

«После того, как эта известная проблема будет решена, вы должны установить для KrbtgtFullPacSignature более высокое значение в зависимости от того, что позволяет ваша среда. Рекомендуется включить принудительный режим, как только ваша среда будет готова».

Startpack подготовил подборку сервисов для мониторинга IT-активов и управления ими. Позволяют оперативно вести учёт и проводить инвентаризацию оборудования, отслеживать перемещение техники и расходных материалов, получать оперативную информацию об актуальности лицензий программного обеспечения предприятия. Программные комплексы помогут оперативно развернуть IT-активы компании и наладить связку с подразделениями или удалёнными филиалами.

Статьи по теме