Microsoft verklaardhet volgende.Na het installeren van KB5019966 of latere updates op domeincontrollers (DC's) kan er sprake zijn van een geheugenlek met de Local Security Authority Subsystem Service (LSASS,exe). Afhankelijk van de werklast van uw DC's en de hoeveelheid tijd sinds de laatste herstart van de server, kan LSASS het geheugengebruik voortdurend verhogen naarmate de uptime van uw server toeneemt, waardoor de server mogelijk niet meer reageert of automatisch opnieuw opstart. Opmerking: De out-of-band updates voor DC's die op 17 november 2022 en 18 november 2022 zijn uitgebracht, kunnen door dit probleem worden getroffen.
Het probleem is van invloed op Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1 en Windows Server 2008 SP2. Het installeren van out-of-band updates die zijn uitgebracht om autorisatieproblemen op domeincontrollers op te lossen, lost het geheugenlek niet op. Microsoft werkt nog aan een oplossing.
Als tijdelijke oplossing kunt u de registerwaarde KrbtgtFullPacSignature instellen op 0 met de volgende opdracht:
|_+_|
Geef het op als beheerder.
Na de release van de hotfix moet u een hogere waarde instellen voor de sleutel KrbtgtFullPacSignature, volgens de onderstaande referentietabel.
- 0- Gehandicapt
- 1– Nieuwe handtekeningen worden toegevoegd, maar niet geverifieerd. (Standaardinstelling)
- 2- Auditmodus. Nieuwe handtekeningen worden toegevoegd en indien aanwezig geverifieerd. Als de handtekening ontbreekt of ongeldig is, is authenticatie toegestaan en worden er auditlogboeken gemaakt.
- 3- Handhavingsmodus. Nieuwe handtekeningen worden toegevoegd en indien aanwezig geverifieerd. Als de handtekening ontbreekt of ongeldig is, wordt de authenticatie geweigerd en worden er auditlogboeken gemaakt.
