问题
根据 KB5020805 启用 KrbtgtFullPacSignature(值 3)后,整个域变得无法访问,登录屏幕上显示以下消息:“系统资源不足,无法完成请求的服务”,我们不得不通过备份回滚域控制器。
先决条件
- 将 KrbtgtFullPacSignature 设置为值 2
- 已检查 msDS-SupportedEncryptionTypes,所有帐户的值均为 Null 或 0
- UserAccountControl 设置为正常值
- 检查了所有 ADDC 上的 EventID 4769,仅使用了 0x12
- 检查了 EventID 42、43 和 44,均不存在
- 检查了 EventID 14,没有条目存在
故障排除
备份回滚后,我们在 KrbtgtFullPacSignature 设置为值 3 期间检查了 SIEM 中的相关事件,未发现相关信息和/或 ID。后来,在一个隔离的环境中,我们尝试重现该问题,并确认只要我们将值更改为 3,就会出现相同的错误消息,而只要我们将值改回值 2,该错误消息就会消失,身份验证就会恢复正常。
更新
域中的所有 ADDC 都是 Windows Server 2019,并且安装了以下更新(列表不包括常规 .NET 补丁、定义等),更新包括 11 月和 12 月的累积更新以及 11 月的 OOB 补丁:
- KB5021655
- KB5019966
- KB5018419
- KB5017855
- KB5012170
- KB5017379
- KB4589208
- KB4535680
- KB5017315
问题
在互联网上查看后,这似乎不是此更改的正常错误。我还可以补充一点,我们有 4 个域(在不同的林中),其他 3 个域使用相同的方法运行良好,只有第 4 个域出现此错误。有什么想法可能导致此问题以及如何解决?