문제

KB5020805에 따라 KrbtgtFullPacSignature(값 3)를 활성화한 후 전체 도메인에 연결할 수 없게 되고 로그인 화면에 다음 메시지가 표시됩니다. "요청된 서비스를 완료하기에는 시스템 리소스가 부족합니다." 그리고 백업을 통해 도메인 컨트롤러를 롤백해야 했습니다.

전제조건

• KrbtgtFullPacSignature를 값 2로 설정
• msDS-SupportedEncryptionTypes를 확인했는데 모든 계정에서 값이 Null이거나 0입니다.
• UserAccountControl이 일반 값으로 설정되었습니다.
• 모든 ADDC에서 EventID 4769를 확인했으며 0x12만 사용되었습니다.
• EventID 42, 43 및 44를 확인했는데 아무것도 없습니다.
• EventID 14를 확인했는데 항목이 없습니다.

문제 해결

백업 롤백 후 KrbtgtFullPacSignature가 값 3으로 설정된 동안 관련 이벤트가 있는지 SIEM을 확인했지만 관련 정보 및/또는 ID가 발견되지 않았습니다. 나중에 격리된 환경에서 문제를 재현하려고 시도한 결과 값을 3으로 변경하자마자 동일한 오류 메시지가 나타나고 값 2로 다시 변경하자마자 사라지고 인증이 다시 정상으로 돌아오는 것을 확인했습니다.

업데이트

도메인의 모든 ADDC는 Windows Server 2019이고 다음 업데이트가 설치되어 있습니다(일반 .NET 패치, 정의 등은 포함되지 않은 목록). 업데이트에는 11월 및 12월 누적 업데이트와 11월의 OOB 패치가 포함됩니다.

• KB5021655
• KB5019966
• KB5018419
• KB5017855
• KB5012170
• KB5017379
• KB4589208
• KB4535680
• KB5017315

질문

인터넷을 둘러보면 이 변경사항에 대한 일반적인 오류는 아닌 것 같습니다. 또한 서로 다른 포리스트에 4개의 도메인이 있고 다른 3개의 도메인은 동일한 방법으로 문제 없이 작동했지만 4번째 도메인에서만 이 오류가 발생했다고 덧붙일 수 있습니다. 이 문제의 원인과 해결 방법에 대한 아이디어가 있습니까?