Problem

Nach dem Aktivieren von KrbtgtFullPacSignature (Wert 3) gemäß KB5020805 ist die gesamte Domäne nicht mehr erreichbar, auf dem Anmeldebildschirm wird die folgende Meldung angezeigt: „Es sind nicht genügend Systemressourcen vorhanden, um den angeforderten Dienst auszuführen“ und wir mussten die Domänencontroller über ein Backup zurücksetzen.

Voraussetzungen

• Setzen Sie KrbtgtFullPacSignature auf den Wert 2.
• msDS-SupportedEncryptionTypes geprüft, Werte sind Null oder 0 auf allen Konten
• UserAccountControl ist auf normale Werte eingestellt
• EventID 4769 auf allen ADDCs geprüft und nur 0x12 wird verwendet
• EventID 42, 43 und 44 geprüft, keines vorhanden
• EventID 14 geprüft, es sind keine Einträge vorhanden

Fehlerbehebung

Nach dem Backup-Rollback haben wir unser SIEM auf relevante Ereignisse überprüft, während die KrbtgtFullPacSignature auf den Wert 3 gesetzt war. Es wurden keine relevanten Informationen und/oder IDs gefunden. Später haben wir in einer isolierten Umgebung versucht, das Problem nachzubilden und haben festgestellt, dass, sobald wir den Wert auf 3 geändert haben, dieselbe Fehlermeldung erscheint und sobald wir sie wieder auf den Wert 2 geändert haben, sie verschwindet und die Authentifizierung wieder normal ist.

Aktualisierung

Alle ADDCs in der Domäne sind Windows Server 2019 und die folgenden Updates sind installiert (Liste enthält keine normalen .NET-Patches, Definitionen usw.), die Updates umfassen das kumulative November- und Dezember-Update sowie den OOB-Patch vom November:

• KB5021655
• KB5019966
• KB5018419
• KB5017855
• KB5012170
• KB5017379
• KB4589208
• KB4535680
• KB5017315

Frage

Wenn man im Internet nachschaut, scheint dies nicht der normale Fehler für diese Änderung zu sein. Ich kann auch hinzufügen, dass wir 4 Domänen (in verschiedenen Gesamtstrukturen) haben und die anderen 3 Domänen mit derselben Methodik einwandfrei funktionierten, nur die 4. Domäne hat diesen Fehler. Irgendwelche Ideen, was dies verursachen kann und wie man es beheben kann?