新的Windows Server更新导致域控制器卡死、重新启动

Microsoft 正在调查LSASS内存泄漏（由在周二发布的11月补丁Windows Server更新引起），这可能会导致某些域控制器卡死和重新启动。

LSASS（本地安全机构子系统服务）负责在Windows系统上实施安全策略，并处理访问令牌创建、密码更改和用户登录。

如果此服务崩溃，登录用户将立即失去对计算机上 Windows 帐户的访问权限，并且他们会看到系统重启错误，然后系统重启。

时间的推移，LSASS可能会使用更多内存，并且DC可能会变得无响应并重新启动。

根据DC的工作负载和服务器上次重启后的时间长短，LSASS可能会服务器的正常运行时间不断增加内存使用量，并且服务器可能会变得无响应或自动重启。

为解决Windows域控制器上的身份验证问题而推出的带外Windows更新也可能受到此已知问题的影响。

受影响的Windows版本的完整列表包括Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2 SP1和Windows Server 2008 SP2。

微软正在制定一项解决方案，并表示将在即将发布的版本中提供更新。

可用的解决方法

在解决此LSASS内存泄漏问题的修复程序可用之前，该公司还提供了一个临时解决方案，以允许IT管理员解决域控制器不稳定问题。 

此解决方法要求管理员使用以下命令将KrbtgtFullPacSignature注册表项（用于 控制 CVE-2022-37967 Kerberos 协议更改）设置为 0：

reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD

这个已知问题解决后，你应该根据你的环境允许将 KrbtgtFullPacSignature设置为更高的设置。

建议您在环境准备就绪后立即启用强制模式。有关此注册表项的更多信息，请参阅KB5020805：如何管理与CVE-2022-37967相关的Kerberos协议更改。

3 月，Redmond解决了另一个已知问题，该问题会导致Windows Server域控制器因LSASS崩溃而重启。

本月早些时候，Microsoft修复了域控制器登录失败和其他身份验证问题，这些问题也是由星期二的11月补丁Windows更新和紧急带外 (OOB) 更新引起的。