Stále více administrátorů hlásí, že březnové aktualizace operačních systémů Windows Server způsobují významné problémy ovlivňující řadiče domény. Ty dle magazínu WinBuzzer vyplývají z úniku paměti v procesu LSASS, který je klíčový pro vynucování zásad zabezpečení, správu přihlašování uživatelů a změnu hesel.
V praxi se problém projevuje tak, že po instalaci aktualizací KB5035855, KB5035849 a KB5035857 si proces LSASS postupně alokuje stále větší prostor v operační paměti. Následně dochází k zamrzání a samovolnému restartování serverů s rolí doménového řadiče, což zejména v rámci podnikových sítí způsobuje rozsáhlé výpadky.
Nepovedená aktualizace
Z dosavadních hlášení správců systémů plyne, že proces LSASS vykazoval dramaticky zvýšenou spotřebu operační paměti, a nakonec spotřeboval všechny dostupné fyzické i virtuální paměťové zdroje, což v konečném důsledku vedlo k výpadkům. Jeden z administrátorů uvedl, že podpora Microsoftu doporučila jako prozatímní řešení odstranění problematických aktualizací z postižených řadičů domény.
Microsoft ve čtvrtek 21. března oficiálně potvrdil tento problém s tím, že se týká všech serverů s operačními systémy Windows Server 2012 R2, 2016, 2019 a 2022 v roli řadičů domény. Je důležité podotknout, že potíže postihují výhradně podnikové systémy využívající platformu Windows Server a žádným způsobem se netýkají domácích uživatelů.
„Po instalaci aktualizace zabezpečení, vydané 12. března 2024 (KB5035857), může u služby LSASS (Local Security Authority Subsystem Service) dojít k úniku paměti na řadičích domény (DC),“ uvádí Microsoft na svém webu s upřesněním, že k problémům dochází, když lokální a cloudové řadiče domény Active Directory obsluhují požadavky na ověření Kerberos.
Dočasné řešení
Jak jsme uvedli výše, aktuálně je jediným známým řešením odinstalace problematických záplat. K tomu by mělo stačit otevřít Příkazový řádek s oprávněními správce a podle toho, které z aktualizací jsou na serveru nainstalované, zadat následující příkazy:
- wusa /uninstall /kb:5035855
- wusa /uninstall /kb:5035849
- wusa /uninstall /kb:5035857
Nutno podotknout, že se nejedná o první případ problémů souvisejících s LSASS. Microsoft musel řešit podobné potíže s únikem paměti v prosinci 2022 a březnu 2023, což naznačuje na přetrvávající problém s udržením stability řadičů domény po aktualizacích.