Problema

Após habilitar KrbtgtFullPacSignature (valor 3) conforme KB5020805 todo o domínio fica inacessível, na tela de login é mostrada a seguinte mensagem: “Existem recursos de sistema insuficientes para completar o serviço solicitado“ e tivemos que reverter os controladores de domínio através de backup.

Pré-requisitos

• Defina KrbtgtFullPacSignature como valor 2
• Verificados msDS-SupportedEncryptionTypes, os valores são Nulos ou 0 em todas as contas
• UserAccountControl está definido para valores normais
• Verificado EventID 4769 em todos os ADDCs e apenas 0x12 é usado
• Verificado EventID 42, 43 e 44, nenhum está presente
• Verificado EventID 14, nenhuma entrada está presente

Solução de problemas

Após a reversão do backup, verificamos nosso SIEM em busca de eventos relevantes durante o tempo em que KrbtgtFullPacSignature foi definido como valor 3, nenhuma informação e/ou ID relevante foi encontrado. Posteriormente em ambiente isolado tentamos recriar o problema e confirmamos que assim que alteramos o valor para 3 aparece a mesma mensagem de erro e assim que voltamos para o valor 2 ela desapareceu e a autenticação voltou ao normal.

Atualizações

Todos os ADDCs no domínio são Windows Server 2019 e as seguintes atualizações estão instaladas (lista não incluindo patches normais do .NET, definições, etc.), as atualizações incluem a atualização cumulativa de novembro e dezembro, bem como o patch OOB de novembro:

• KB5021655
• KB5019966
• KB5018419
• KB5017855
• KB5012170
• KB5017379
• KB4589208
• KB4535680
• KB5017315

Pergunta

Ao pesquisar na Internet, esse não parece ser o erro normal para essa alteração. Posso acrescentar também que temos 4 domínios (em florestas diferentes) e os outros 3 domínios funcionaram bem com a mesma metodologia, apenas o 4º domínio apresentou este erro. Alguma idéia do que pode causar isso e como resolvê-lo?