Windows Server November 2022-Updates verursachen LSASS-Memory Leak

Windows[English]Ein Blog-Leser hatte bereits in einem Kommentar die Frage gestellt, ob jemand etwas zu einem Speicherleck durch November 2022-Updates bei Windows Server 2016 bemerkt habe. Ich wollte es gerade separat aufgreifen, aber Microsoft ist mir knapp zuvor gekommen und hat ein Speicherleck in LSASS, verursacht durch die Sicherheitsupdates vom 8. November 2022 in diversen Windows Server-Versionen bestätigt. Das Problem kann durch einen Workaround abgeschwächt werden.


Anzeige

Eine Benutzermeldung

Marcel hatte sich in diesem Kommentar gemeldet und fragte, ob andere Administratoren die gleichen Probleme nach Installation des November 2022-Update hätten, die in nachfolgendem Techcommunity-Beitrag vom 18. November 2022 durch einen Benutzer beschrieben wurden.

Hello everyone,

Does someone has identified a memory leak caused by lsass.exe process (attach to services : netlogon, KDC, Active Directory, etc.) on Windows Server 2016 with domain controllers role since the KB5019964 installation?

I have some domain controllers on W2k16 with latest November CU patch and they all have a memory leak caused by the lsass.exe process.

The other domain controllers which doesn't have the November CU installed don't have this memory leak.
I'm currently installing the OOB patch to see if it fix this memory leak.

EDIT 23/11/2022: The OOB patch didn't fix the memory leak on lsass.exe process so we proceed to uninstall the November CU KB5019964 and OOB KB5021664 on our Windows Server 2016 Domain Controllers.

Der betreffende Administrator hat also ein Speicherleck, verursacht durch das November 2022 Update KB5019964 auf seinem Domain-Controllern festgestellt. Das Sonderupdate vom 17. November 2022 zur Korrektur der Kerberos-Authentifizierungsprobleme beseitigt dieses Speicherleck nicht. Auf die Meldung von Marcel gab es hier im Blog aber keine anderen Rückmeldungen.

Microsoft bestätigt LSASS-Memory Leak

Microsoft hat zum 23. November 2022 auf den Release Health-Seiten diverser Windows Server-Versionen den neuen Eintrag Possible memory leak in Local Security Authority Subsystem Service (LSASS,exe) eingestellt, der das Speicherleck im Local Security Authority Subsystem Service (LSASS.exe) bestätigt. Betroffenen sind folgende Server-Versionen :

falls die genannten Sicherheitsupdates vom 8. November oder die Out-of-Band-Updates vom 17./18. November 2022 (Out-of-Band-Updates korrigieren Kerberos Authentifizierungsprobleme auf DCs (17. Nov. 2022)) installiert wurden. Microsoft schreibt dazu:

Nach der Installation des Updates [die KB-Nummer hängt von der Server-Version ab] oder späteren Updates auf Domänencontrollern (DCs) kann es zu einem Speicherleck beim Local Security Authority Subsystem Service (LSASS,exe) kommen.

Abhängig von der Arbeitslast Ihrer DCs und der Zeit, die seit dem letzten Neustart des Servers vergangen ist, kann LSASS die Speichernutzung mit der Betriebszeit Ihres Servers kontinuierlich erhöhen, und der Server reagiert möglicherweise nicht mehr oder startet automatisch neu.

Hinweis: Die Out-of-Band-Updates für DCs, die am 17. November 2022 und 18. November 2022 veröffentlicht wurden, könnten von diesem Problem betroffen sein.

Die Update-Nummern vom 8. November 2022 habe ich oben herausgezogen – die Out-of-Band-Updates vom 17./18. November 2022 sind in Out-of-Band-Updates korrigieren Kerberos Authentifizierungsprobleme auf DCs (17. Nov. 2022) genannt.

Workaround vorgeschlagen

Im Support-Beitrag Possible memory leak in Local Security Authority Subsystem Service (LSASS,exe) schlägt Microsoft vor, eine administrative Eingabeaufforderung (Als Administrator ausführen) zu öffnen und über folgenden Befehl einen Registrierungsschlüssel einzutragen:

reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD

Sobald dieses bekannte Problem behoben ist, sollten Sie KrbtgtFullPacSignature auf eine höhere Einstellung setzen, je nachdem, was Ihre Umgebung zulässt. Es wird empfohlen, den Enforcement-Modus zu aktivieren, sobald Ihre Umgebung bereit ist. Weitere Informationen zu diesem Registrierungsschlüssel finden Sie in KB5020805: How to manage Kerberos protocol changes related to CVE-2022-37967. Micrsooft arbeitet an einer Lösung und will in einer der nächsten Versionen ein Update bereitstellen.

Ähnliche Artikel:
Patchday: Windows 10-Updates (8. November 2022)
Patchday: Windows 11/Server 2022-Updates (8. November 2022)
Windows 7/Server 2008 R2; Windows 8.1/Server 2012 R2: Updates (8. November 2022)
Out-of-Band-Updates korrigieren Kerberos Authentifizierungsprobleme auf DCs (17. Nov. 2022)
November 2022-Updates für Windows: Änderungen am Netlogon- und Kerberos-Protokoll


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Problemlösung, Update, Windows Server abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Windows Server November 2022-Updates verursachen LSASS-Memory Leak

  1. 1ST1 sagt:

    Unsere DCs sind alle mit dem November-Patch und den Zusatzpatches vom 17/18 ausgestattet. Bisher laufen sie. Wir haben allerdings – nach meinem Geschack – zu viele DCs, konnte mich bisher nicht durchsetzen, dass eigentlich 4 Stück für alle Standorte vollkommen ausreichen würden. In dem Fall hier bedeutet es aber, dass jeder einzelne DC nicht so viel zu tun hat. vielleicht haben wir deswegen dieses Problem nicht.

  2. Emeriks sagt:

    Moin,
    ich kann bestätigen. Wir haben dieses Verhalten an min 2 von >30 DC's. Beide gehören zur selben Domäne, beide sind Core Installations. Aber nur einer von beiden hat etwas mehr zu tun, der andere ist nur Mitläufer. Beide laufen unter VMware.
    Hier hilft nur Hard-Reset.

    >> Es wird empfohlen, den Enforcement-Modus zu aktivieren, sobald Ihre Umgebung bereit ist.
    Welcher "Enforcement-Modus"?

    E.

  3. Armin sagt:

    Gleiches Problem auf DCs Windows Server 2019

    Hallo zusammen,
    wir können bei uns dasselbe Verhalten erkennen. Achtung: Der RAM-Verbrauch wächst gegen "Ende" annähernd exponentiell! Ich reboote unsere DCs nun der Reihe nach und hoffe auf die kommenden Updates!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.