Problema

Después de habilitar KrbtgtFullPacSignature (valor 3) según KB5020805, todo el dominio se vuelve inaccesible, en la pantalla de inicio de sesión se muestra el siguiente mensaje: "Existen recursos del sistema insuficientes para completar el servicio solicitado" y tuvimos que revertir los controladores de dominio mediante una copia de seguridad.

Requisitos previos

• Establezca KrbtgtFullPacSignature en el valor 2
• Tipos de cifrado compatibles con msDS marcados, los valores son nulos o 0 en todas las cuentas
• UserAccountControl está configurado en valores normales
• Se comprobó EventID 4769 en todos los ADDC y solo se usa 0x12
• Comprobado EventID 42, 43 y 44, no hay ninguno presente
• Comprobado EventID 14, no hay entradas presentes

Solución de problemas

Después de la reversión de la copia de seguridad, verificamos nuestro SIEM en busca de eventos relevantes durante el tiempo que KrbtgtFullPacSignature se configuró en el valor 3, no se encontró información ni ID relevantes. Más tarde, en un entorno aislado, intentamos recrear el problema y confirmamos que tan pronto como cambiamos el valor a 3, aparece el mismo mensaje de error y tan pronto como volvimos a cambiar al valor 2, desapareció y la autenticación volvió a la normalidad.

Actualizaciones

Todos los ADDC en el dominio son Windows Server 2019 y están instaladas las siguientes actualizaciones (la lista no incluye parches .NET normales, definiciones, etc.), las actualizaciones incluyen la actualización acumulativa de noviembre y diciembre, así como el parche OOB de noviembre:

• KB5021655
• KB5019966
• KB5018419
• KB5017855
• KB5012170
• KB5017379
• KB4589208
• KB4535680
• KB5017315

Pregunta

Al buscar en Internet, este no parece ser el error normal para este cambio. También puedo agregar que tenemos 4 dominios (en bosques diferentes) y los otros 3 dominios funcionaron bien con la misma metodología, solo el cuarto dominio recibió este error. ¿Alguna idea de qué puede causar esto y cómo resolverlo?