Microsoft, Windows etki alanı denetleyicilerinin çökmesine neden olan yaygın bir sorunun arkasında Mart 2024 Windows Server güvenlik güncelleştirmeleriyle ortaya çıkan bir bellek sızıntısının olduğunu doğruladı.
BleepingComputer'ın ilk olarak Çarşamba günü bildirdiği ve birçok yöneticinin geçen hafta uyardığı gibi, bu ayın toplu güncellemeleriyle ortaya çıkan Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti (LSASS) işlem belleği sızıntısı nedeniyle etkilenen sunucular donuyor ve beklenmedik bir şekilde yeniden başlatılıyor.
Bir yönetici, “Mart güncellemelerinin (Exchange ve düzenli Windows Server güncellemeleri) yüklenmesinden bu yana, DC'lerimizin çoğu, lsass bellek kullanımının (ölene kadar) sürekli arttığını gösteriyor” dedi.
Başka bir Windows yöneticisi BleepingComputer'a şunları söyledi: “Belirtilerimiz, KB5035855 (Sunucu 2016) ve KB5035857 (Sunucu 2022) yüklendikten sonra lsass.exe işleminde bellek kullanımının tüm fiziksel ve sanal belleğin tüketilmesine ve makinenin kilitlenmesine kadar artmasıydı.”
Bilinen sorun, en son Windows Server 2012 R2, 2016, 2019 ve 2022 güncelleştirmelerine sahip tüm etki alanı denetleyicisi sunucularını etkilemektedir.
Ayrıca yalnızca etkilenen Windows Server platformunu kullanan kurumsal sistemleri de etkiler; ev kullanıcıları etkilenmez.
Microsoft, “12 Mart 2024'te yayımlanan Mart 2024 güvenlik güncelleştirmesinin (KB5035857) yüklenmesinin ardından, Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti (LSASS), etki alanı denetleyicilerinde (DC'ler) bellek sızıntısı yaşayabilir” diyor.
“Bu, şirket içi ve bulut tabanlı Active Directory Etki Alanı Denetleyicileri Kerberos kimlik doğrulama isteklerine hizmet verdiğinde gözlemlenir. Aşırı bellek sızıntıları LSASS'nin çökmesine neden olabilir ve bu da temeldeki etki alanı denetleyicilerinin (DC'ler) planlanmamış bir şekilde yeniden başlatılmasını tetikler.”
Microsoft sorunun temel nedenini belirledi ve yakında yayımlanacak bir düzeltme üzerinde çalışıyor.
Geçici çözüm
Microsoft bu ciddi bellek sızıntısı sorunu için bir düzeltme yayınlayana kadar ve etkilenen sistemlerin bellek kullanımını izlemek ve gerektiğinde yeniden başlatmak istemezlerse, Windows yöneticilerine sorunlu güncellemeleri etki alanı denetleyicilerinden kaldırmaları önerilir.
Aynı yönetici BleepingComputer'a “Microsoft Desteği şimdilik güncellemeyi kaldırmamızı önerdi” dedi.
Bu hatalı güncellemeleri kaldırmak için Başlat menüsünden 'cmd' yazarak yükseltilmiş bir komut istemi açın, Komut İstemi uygulamasına sağ tıklayın ve ardından 'Yönetici Olarak Çalıştır'a tıklayın.
Daha sonra, etkilenen etki alanı denetleyicilerine hangi güncelleştirmeyi yüklediğinize bağlı olarak aşağıdaki komutlardan birini çalıştırın:
wusa /uninstall /kb:5035855
wusa /uninstall /kb:5035849
wusa /uninstall /kb:5035857
Aralık 2022'de Microsoft, etki alanı denetleyicilerini etkileyen başka bir LSASS bellek sızıntısını çözdü. Kasım 2022 Yaması Salı günü yayımlanan Windows Server güncelleştirmeleri yüklendikten sonra, etkilenen sunucular donup yeniden başlatılıyordu.
Ayrıca Mart 2022'de Microsoft, Windows Server etki alanı denetleyicilerinin beklenmedik şekilde yeniden başlatılmasına neden olan bir LSASS çökmesini daha düzeltti.