問題
根據 KB5020805 啟用 KrbtgtFullPacSignature(值 3)後,整個網域變得無法訪問,登入畫面顯示以下訊息:“系統資源不足,無法完成要求的服務”,我們必須透過備份回滾網域控制器。
先決條件
- 將 KrbtgtFullPacSignature 設定為值 2
- 檢查了 msDS-SupportedEncryptionTypes,所有帳戶上的值均為 Null 或 0
- UserAccountControl 設定為正常值
- 檢查所有 ADDC 上的 EventID 4769,僅使用 0x12
- 檢查了 EventID 42、43 和 44,不存在
- 已檢查 EventID 14,不存在任何條目
故障排除
備份回滾後,我們在 KrbtgtFullPacSignature 設定為值 3 期間檢查了 SIEM 中的相關事件,但未找到相關資訊和/或 ID。後來在一個隔離的環境中,我們嘗試重現該問題,並確認一旦我們將值更改為3,就會出現相同的錯誤訊息,一旦我們更改回值2,該錯誤訊息就會消失,並且身份驗證恢復正常。
更新
網域中的所有 ADDC 均為 Windows Server 2019,並安裝了以下更新(清單不包括正常的 .NET 修補程式、定義等),更新包括 11 月和 12 月的累積更新以及 11 月的 OOB 修補程式:
- KB5021655
- KB5019966
- KB5018419
- KB5017855
- KB5012170
- KB5017379
- KB4589208
- KB4535680
- KB5017315
問題
在互聯網上查找時,這似乎不是此更改的正常錯誤。我還可以補充一點,我們有 4 個域(位於不同的林中),其他 3 個域使用相同的方法運作良好,只有第 4 個域出現此錯誤。有什麼想法會導致此問題以及如何解決它嗎?