Проблема

После включения KrbtgtFullPacSignature (значение 3) согласно KB5020805 весь домен становится недоступным, на экране входа в систему отображается следующее сообщение: «Недостаточно системных ресурсов для завершения запрошенной службы», и нам пришлось выполнить откат контроллеров домена с помощью резервного копирования.

Предпосылки

• Установите KrbtgtFullPacSignature на значение 2
• Проверено msDS-SupportedEncryptionTypes, значения равны Null или 0 на всех учетных записях
• UserAccountControl установлен на нормальные значения
• Проверено EventID 4769 на всех ADDC, используется только 0x12
• Проверил EventID 42, 43 и 44, ни один не присутствует
• Проверено EventID 14, записей нет

Поиск неисправностей

После отката резервной копии мы проверили нашу SIEM на наличие соответствующих событий в то время, когда KrbtgtFullPacSignature был установлен на значение 3, никакой соответствующей информации и/или идентификаторов не было найдено. Позже в изолированной среде мы попытались воссоздать проблему и подтвердили, что как только мы изменили значение на 3, появилось то же самое сообщение об ошибке, а как только мы изменили значение обратно на 2, оно исчезло, и аутентификация вернулась к нормальному состоянию.

Обновления

Все ADDC в домене работают под управлением Windows Server 2019, и установлены следующие обновления (список не включает обычные исправления .NET, определения и т. д.); обновления включают накопительное обновление за ноябрь и декабрь, а также исправление OOB от ноября:

• КБ5021655
• КБ5019966
• КБ5018419
• КБ5017855
• КБ5012170
• КБ5017379
• КБ4589208
• КБ4535680
• КБ5017315

Вопрос

Если поискать в интернете, то это не похоже на обычную ошибку для этого изменения. Могу также добавить, что у нас 4 домена (в разных лесах), и остальные 3 домена работали нормально с той же методологией, только 4-й домен получил эту ошибку. Есть идеи, что может вызвать это и как это исправить?