Windows Server: controller di dominio si bloccano e si riavviano dopo le patch di novembre

Microsoft conferma un nuovo problema con gli aggiornamenti di sicurezza rilasciati a novembre 2022: i controller di dominio Windows Server possono bloccarsi e riavviarsi improvvisamente. Come risolvere.

I tecnici di Microsoft hanno confermato di essere al lavoro per risolvere un problema introdotto con le patch di novembre 2022 per Windows e per gli altri prodotti software dell’azienda di Redmond.

Dopo l’applicazione degli aggiornamenti di sicurezza di novembre, infatti, molti controller di dominio basati su Windows Server hanno cominciato a presentare evidenti problemi bloccandosi improvvisamente e riavviandosi senza spiegazioni.
In questi casi gli utenti collegati perdono l’accesso al proprio account e viene mostrato un messaggio d’errore.

Il problema è riconducibile, per stessa ammissione di Microsoft, alle modifiche sul processo LSASS (Local Security Authority Subsystem Service) che in Windows è responsabile dell’autenticazione degli utenti, della gestione delle modifiche alle password e della creazione di token di accesso.

Microsoft spiega che il processo LSASS può usare un quantitativo di memoria maggiore di quello normalmente richiesto con un comportamento che a lungo andare rende instabile il controller di dominio e lo costringe a un riavvio anomalo. Al crescere del tempo di uptime del server, il processo LSASS continua a occupare sempre più memoria provocando il problema segnalato dagli amministratori IT e adesso confermato anche da Microsoft.

La problematica, che riguarda Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1 e Windows Server 2008 SP2, è in corso di risoluzione e i tecnici di Microsoft rilasceranno prima possibile un aggiornamento correttivo.

Nel frattempo, Microsoft suggerisce un intervento temporaneo che permette di evitare il comportamento anomalo ed evitare il blocco del controller di dominio.
L’intervento riguarda ancora una volta l’utilizzo del protocollo Kerberos, utilizzato per le operazioni di autenticazione client-server.
Il consiglio è quello di digitare cmd nella casella di ricerca di Windows Server, scegliere Esegui come amministratore quindi impartire il seguente comando:

reg add HKLM\System\CurrentControlSet\services\KDC -v KrbtgtFullPacSignature -d 0 -t REG_DWORD

Il valore della chiave di registro potrà essere elevato secondo le indicazioni riportate in questo articolo di supporto non appena Microsoft avrà completato e avviato la distribuzione della patch risolutiva.

Ti consigliamo anche

Link copiato negli appunti