問題
KB5020805 に従って KrbtgtFullPacSignature (値 3) を有効にすると、ドメイン全体にアクセスできなくなり、ログイン画面に「要求されたサービスを完了するにはシステム リソースが不足しています」というメッセージが表示され、バックアップを通じてドメイン コントローラーをロールバックする必要がありました。
前提条件
- KrbtgtFullPacSignature の値を 2 に設定します
- msDS-SupportedEncryptionTypes をチェックしました。すべてのアカウントの値は Null または 0 です。
- UserAccountControlが通常の値に設定されている
- すべてのADDCでイベントID 4769をチェックしましたが、0x12のみが使用されています
- イベントID 42、43、44を確認しましたが、何も存在しません
- イベントID 14を確認しましたが、エントリは存在しません
トラブルシューティング
バックアップのロールバック後、KrbtgtFullPacSignature が値 3 に設定されている間に SIEM で関連イベントを確認しましたが、関連情報や ID は見つかりませんでした。その後、隔離された環境で問題を再現し、値を 3 に変更するとすぐに同じエラー メッセージが表示され、値を 2 に戻すとすぐにエラー メッセージは消え、認証が正常に戻ることを確認しました。
アップデート
ドメイン内のすべての ADDC は Windows Server 2019 であり、次の更新プログラムがインストールされています (リストには通常の .NET パッチ、定義などは含まれていません)。更新プログラムには、11 月と 12 月の累積的な更新プログラムと、11 月の OOB パッチが含まれます。
- KB5021655
- KB5019966
- KB5018419
- KB5017855
- KB5012170
- KB5017379
- KB4589208
- KB4535680
- KB5017315
質問
インターネットで調べてみると、この変更で通常発生するエラーではないようです。また、ドメインが 4 つ (異なるフォレスト) あり、他の 3 つのドメインは同じ方法で問題なく動作しましたが、4 番目のドメインでのみこのエラーが発生しました。この原因と解決方法について何かアイデアはありますか?