Nach der Installation von KB5019966 oder späteren Updates auf Domänencontrollern (DCs) kann es zu einem Speicherverlust beim Local Security Authority Subsystem Service (LSASS,exe) kommen. Abhängig von der Arbeitslast Ihrer Domänencontroller und der Zeitspanne seit dem letzten Neustart des Servers kann LSASS mit der Betriebszeit Ihres Servers die Speichernutzung kontinuierlich erhöhen und der Server reagiert möglicherweise nicht mehr oder wird automatisch neu gestartet. Hinweis: Die Out-of-Band-Updates für DCs, die am 17. November 2022 und 18. November 2022 veröffentlicht wurden, könnten von diesem Problem betroffen sein.
Das Problem betrifft Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1 und Windows Server 2008 SP2. Durch die Installation von Out-of-Band-Updates, die zur Behebung von Autorisierungsproblemen auf Domänencontrollern veröffentlicht wurden, wird der Speicherverlust nicht behoben. Microsoft arbeitet noch an einer Lösung.
Um dieses Problem zu umgehen, können Sie den KrbtgtFullPacSignature-Registrierungswert mit dem folgenden Befehl auf 0 setzen:
|_+_|
Geben Sie es als Administrator aus.
Nach der Veröffentlichung des Hotfixes müssen Sie gemäß der folgenden Referenztabelle einen höheren Wert für den Schlüssel KrbtgtFullPacSignature festlegen.
- 0- Deaktiviert
- 1– Neue Signaturen werden hinzugefügt, aber nicht überprüft. (Standardeinstellung)
- 2- Audit-Modus. Neue Signaturen werden hinzugefügt und gegebenenfalls überprüft. Wenn die Signatur fehlt oder ungültig ist, ist die Authentifizierung zulässig und es werden Prüfprotokolle erstellt.
- 3- Durchsetzungsmodus. Neue Signaturen werden hinzugefügt und gegebenenfalls überprüft. Wenn die Signatur fehlt oder ungültig ist, wird die Authentifizierung verweigert und Prüfprotokolle werden erstellt.