Birçok sistem yöneticisinin geçen hafta boyunca uyardığı gibi, etkilenen Windows Server sunucuları bu ayki toplu güncellemelerle birlikte sunulan Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti (LSASS) işlemi bellek sızıntısı nedeniyle beklenmedik şekilde donuyor ve yeniden başlatılıyor.
Bir sistem yönetici, “Mart güncellemelerinin (Exchange ve normal Windows Server güncellemeleri) yüklenmesinden bu yana alan adı kontrolörlerimizin (DC) çoğu sürekli artan lsass bellek kullanımı gösteriyor” dedi. Başka bir Windows sistem yöneticisi ise “Tespitlerimize göre KB5035855 (Server 2016) ve KB5035857 (Server 2022) yüklendikten sonra lsass.exe işleminde bellek kullanımının tüm fiziksel ve sanal belleğin tüketildiği ve makinenin kilitlendiği noktaya kadar şişiyor” diyordu.
Microsoft bu sorunun en son Windows Server 2012 R2, 2016, 2019 ve 2022 güncellemelerine sahip tüm etki alanı denetleyicisi sunucularını etkileyen bilinen bir sorun olduğunu doğruladı. Yapılan açıklamaya göre sorun yalnızca etkilenen Windows Server platformunu kullanan kurumsal sistemleri etkilerken ev tipi kullanıcılar sorundan etkilenmiyor.
Microsoft açıklamasında “12 Mart 2024’te yayınlanan Mart 2024 güvenlik güncelleştirmesinin (KB5035857) yüklenmesinin ardından, Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti (LSASS) etki alanı denetleyicilerinde (DC’ler) bir bellek sızıntısı yaşayabilir. Bu durum, şirket içi ve bulut tabanlı Active Directory Etki Alanı Denetleyicileri Kerberos kimlik doğrulama isteklerine hizmet verdiğinde gözlemlenir. Aşırı bellek sızıntıları LSASS’ın çökmesine neden olabilir ve bu da temel etki alanı denetleyicilerinin (DC’ler) planlanmamış bir şekilde yeniden başlatılmasını tetikler” diyor
Microsoft temel nedeni tespit etti ve yakında yayınlanacak olan bir düzeltme üzerinde çalışıyor. Bununla birlikte şimdilik sunulan geçici çözüm ise Windows sistem yöneticilerinin sorunlu güncellemeleri etki alanı denetleyicilerinden kaldırmaları şeklinde.
Bu hatalı güncellemeleri kaldırmak için, Başlat menüsünden ‘cmd’ yazıp Komut İstemi uygulamasına sağ tıklayarak ve ardından ‘Yönetici Olarak Çalıştır’a tıklayarak yükseltilmiş bir komut istemi açın. Ardından, etkilenen etki alanı denetleyicilerine hangi güncellemeyi yüklediğinize bağlı olarak, wusa /uninstall /kb:5035855 veya wusa /uninstall /kb:5035849 komutlarından birini çalıştırın.
Aralık 2022’de Microsoft, etki alanı denetleyicilerini etkileyen başka bir LSASS bellek sızıntısını çözmüştü. Tıpkı şimdi olduğu gibi, Kasım 2022 Salı Yaması sırasında yayınlanan Windows Server güncellemelerini yükledikten sonra, etkilenen sunucular donuyor ve yeniden başlatılıyordu.
