Windows yöneticilerinden gelen yaygın raporlara göre, Mart 2024 Windows Server güncellemeleri bazı etki alanı denetleyicilerinin çökmesine ve yeniden başlatılmasına neden oluyor.
Etkilenen sunucular, Windows Server 2016 ve Windows Server 2022 için Mart 2024 toplu güncelleştirmeleriyle ortaya çıkan Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti (LSASS) işlem belleği sızıntısı nedeniyle donuyor ve yeniden başlatılıyor.
LSASS, güvenlik politikalarını uygulayan ve kullanıcı oturum açma işlemlerini, erişim belirteci oluşturmayı ve parola değişikliklerini yöneten bir Windows hizmetidir.
Pek çok yöneticinin uyardığı gibi, Salı günü yayınlanan KB5035855 ve KB5035857 Windows Server güncellemelerini yükledikten sonra, en son güncellemelere sahip etki alanı denetleyicileri, artan LSASS bellek kullanımı nedeniyle çökebilir ve yeniden başlatılabilir.
Bir yönetici, “Mart güncellemelerinin (Exchange ve düzenli Windows Server güncellemeleri) yüklenmesinden bu yana, DC'lerimizin çoğu, lsass bellek kullanımının (ölene kadar) sürekli arttığını gösteriyor” dedi.
“Etki alanı denetleyicilerinde (2016 çekirdek, 2022 DE ve 2022 çekirdek etki alanı denetleyicileri) lsass.exe ile ilgili bellek sızıntısı sorunları yaşadık. Öyle ki tüm etki alanı denetleyicileri hafta sonu çöktü ve kesintiye neden oldu.” .
Bir yönetici BleepingComputer'a şunları söyledi: “Belirtilerimiz, KB5035855 (Sunucu 2016) ve KB5035857 (Sunucu 2022) yüklendikten sonra lsass.exe işleminde bellek kullanımının tüm fiziksel ve sanal belleğin tüketilmesine ve makinenin kilitlenmesine kadar artmasıydı.”
“Destek temsilcisi, Microsoft'tan resmi iletişimin yakında duyurulmasını beklediklerini söylüyor.”
Geçici çözüm mevcut
Microsoft bu bellek sızıntısı sorununu resmi olarak kabul edene kadar, yöneticilere sorunlu Windows Server güncellemelerini etki alanı denetleyicilerinden kaldırmaları önerilir.
Aynı yönetici BleepingComputer'a “Microsoft Desteği şimdilik güncellemeyi kaldırmamızı önerdi” dedi.
Sorunlu güncellemeleri kaldırmak için Başlat menüsünü tıklayıp 'cmd' yazarak, Komut İstemi uygulamasına sağ tıklayıp 'Yönetici Olarak Çalıştır'ı seçerek yükseltilmiş bir komut istemi açın.
Daha sonra, Windows etki alanı denetleyicinize hangi güncelleştirmeyi yüklediğinize bağlı olarak aşağıdaki komutlardan birini çalıştırın:
wusa /uninstall /kb:5035855
wusa /uninstall /kb:5035857
Kaldırıldıktan sonra, hatalı güncellemeyi gizlemek ve artık mevcut güncellemeler listesinde görünmemesini sağlamak için 'Güncellemeleri Göster veya Gizle' sorun gidericisini de kullanmalısınız.
Microsoft, Kasım 2022 Yaması Salı günü yayınlanan Windows Server güncellemelerini yükledikten sonra etkilenen sunucuların donup yeniden başlatıldığı Aralık 2022'de etki alanı denetleyicilerini etkileyen başka bir LSASS bellek sızıntısını giderdi.
Mart 2022'de Microsoft, Windows Server etki alanı denetleyicisinin beklenmedik şekilde yeniden başlatılmasına neden olan bir LSASS çökmesini daha düzeltti.
Bir Microsoft sözcüsü bugün erken saatlerde BleepingComputer ile iletişime geçtiğinde daha fazla ayrıntı sağlayamadı.