Novembre 2022 – Windows Server : ce nouveau bug fait redémarrer les contrôleurs de domaine !

Les mises à jour de novembre 2022 seraient à l'origine d'un nouveau problème sur les contrôleurs de domaine Active Directory ! Cette fois-ci, les contrôleurs de domaine se fige ou redémarrage lorsque le bug se produit ! Faisons le point.

C'est le service LSASS de Windows qui est au cœur du problème et qui est directement impacté par les mises à jour de novembre 2022. Pour rappel, ce service critique sous Windows permet de gérer la création des tokens d'accès, ainsi que la connexion des utilisateurs et les changements de mot de passe. Si ce service plante, la session de l'utilisateur se ferme immédiatement et le système enchaîne sur un redémarrage.

C'est un peu ce qu'il se passe avec ce nouveau bug puisque le service se met à consommer trop de mémoire, ce qui le fait planter et mène à un redémarrage de serveur. Sur son site, Microsoft précise : "Selon la charge de travail de vos DCs et le temps écoulé depuis le dernier redémarrage du serveur, LSASS peut augmenter continuellement l'utilisation de la mémoire avec le temps et le serveur peut ne plus répondre ou redémarrer automatiquement."

L'entreprise américaine précise que ce dysfonctionnement affecte les contrôleurs de domaine Active Directory qui tournent sur les versions suivantes de Windows Server : Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1, et Windows Server 2008 SP2. La toute dernière version de Windows Server ne semble pas impactée.

Une solution de contournement

En attendant un correctif officiel, qui prendra peut être la forme d'une nouvelle mise à jour hors bande, Microsoft a mis en ligne une solution de contournement. Cela se passe dans le Registre, en exécutant la commande ci-dessous en tant qu'admin pour définir l'option à "KrbtgtFullPacSignature" à "0" :

reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD

Cette modification doit être temporaire : "Une fois ce problème connu résolu, vous devriez définir KrbtgtFullPacSignature à un paramètre plus élevé en fonction de ce que votre environnement permet.", tout en sachant que ce paramètre est là pour corriger la vulnérabilité CVE-2022-37967 et que Microsoft explique comment le configurer dans cet article (4 états différents sont possibles).

Il y a quelques jours, Microsoft a corrigé un problème d'authentification Kerberos qui affecte les environnements Active Directory ! Ce problème était, lui aussi, lié aux mises à jour de novembre. D'ailleurs, Microsoft explique que la mise à jour hors bande diffusée pour corriger ce bug d'authentification ne vous empêche pas de rencontrer ce nouveau bug lié à LSASS.

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5499.Voir tous les posts

5 thoughts on “Novembre 2022 – Windows Server : ce nouveau bug fait redémarrer les contrôleurs de domaine !

  • Voilà, en cas d’attaque, le cert demande d’être toujours à jour. Or, avec Microsoft, stabilité ou sécurité, il faut choisir 🤔🤔🤔

    Répondre
  • Bonjour,

    Donc pour le moment vaux mieux attendre les prochains patchs de décembre avant update ?

    J’ai un client où j’hésite de passer la màj sur un contrôleur 2012 R2.

    CDT,

    DENIS Alexandre

    Répondre
  • Bonjour,
    Savez-vous si la mise à jour de décembre règle ce problème ?
    Chez nous le fait de changer la clé de registre n’aide pas, la mémoire fini toujours pas saturer …

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.