[既知の不具合] ドメイン コントローラーにて Local Security Authority Subsystem Service (LSASS) がメモリ リークする

皆さん、おはようございます。

今回は、Windows Server 関連の話題です。

数日前に、Windows release health ページにて告知されていましたが、Windows Server 向け 2024 年 3 月度のセキュリティ更新プログラムをインストールした環境下のドメイン コントローラーにて、Local Security Authority Subsystem Service (LSASS) がメモリ リークする問題が確認されています。

<対象 OS>

Windows Server 2022

Windows Server 2019

Windows Server 2016

Windows Server 2012R2


Issue with Kerberos requests on domain controllers may cause LSASS memory leaks


Following installation of the March 2024 security update, released March 12, 2024 (KB5035857), Local Security Authority Subsystem Service (LSASS) may experience a memory leak on domain controllers (DCs). This is observed when on-premises and cloud-based Active Directory Domain Controllers service Kerberos authentication requests.

Extreme memory leaks may cause LSASS to crash, which triggers an unscheduled reboot of underlying domain controllers (DCs).

Note: This issue does not occur on Home devices. It affects only environments in organizations using some Windows Server platforms.

2024 年 3 月 12 日 (米国時間) にリリースされた 2024 年 3 月のセキュリティ更新プログラム (KB5035857) のインストール後、Local Security Authority Subsystem Service (LSASS) がドメイン コントローラー上でメモリ リークが発生する可能性があります。

これは、オンプレミスおよびクラウド ベース Active Directory ドメイン コントローラーが Kerberos 認証要求をサービスする時に観察されます。

極端なメモリ リークにより、LSASS がクラッシュし、ドメイン コントローラーの予期しない再起動がトリガーされることがあります。

注意 : この問題はホーム デバイスでは発生しません。一部の Windows Server プラットフォームを使用している組織の環境にのみ影響します。


Resolution (解決策)

2024/03/23 (日本時間) に、out-of-band (OOB) (定例外) のセキュリティ更新プログラムがリリースされています。そちらを適用することを強くお勧めします。

今回は、out-of-band (OOB) リリースなので、Windows Update からの提供は無く、Microsoft Update Catalog からダウンロードする必要があります。

Windows Server Update Services (WSUS) または Microsoft Configuration Manager を運用されている方は、カタログを手動インポートする必要があります。

下記の記事を参考に、今回の更新プログラムをインポートしてみてください。

PowerShell を使って WSUS に更新プログラムをインポートする
Microsoft Update カタログから更新プログラムをインポートする手順が変更されました [Japan Microsoft Configuration Manager Support Team Blog]


Windows Server 2022: KB5037422
Windows Server 2019: KB5037425
Windows Server 2016: KB5037423
Windows Server 2012 R2: KB5037426

※ Windows Server 2019 向けの更新プログラムは 2024/03/23 (日本時間) ではリリースされていません。今後リリースされる予定です。

2024/03/26 (日本時間) に Windows Server 2019 向けの更新プログラムがリリースされました。これで、影響するすべてのバージョンで更新プログラムが出そろいました。


また、今回リリースされた out-of-band (OOB) のセキュリティ更新プログラムは累積アップデートなので、問題のあった 2024 年 3 月度のセキュリティ更新プログラムの適用はせず、直接、下記のセキュリティ更新プログラムを適用することをお勧めします。


https://learn.microsoft.com/en-us/windows/release-health/windows-message-center#recent-announcements

<TIPS>

今回のような、既知の不具合情報を早期に受け取るには、Microsoft 365 管理センターの Windows のリリースの正常性にて、メール通知を受け取る設定をされることをお勧めします。

Windows release health now available in the Microsoft 365 admin center

Windows リリースの正常性をチェックする方法

具体的には、Microsoft 365 管理センターに入り、[正常性] > [Windows のリリースの正常性] を開きます。その後、[ユーザー設定] を選択します。

[ユーザー設定] にて、[Windows リリースの正常性に関するメール通知を自分に送信する] にチェックを入れ、受け取りたいメール アドレスを欄に入力し、受け取りたい製品のバージョンにチェックを入れ、[保存] を選択するだけです。

<ちなみに>

私の自宅検証環境では問題事象は発生していないように見受けられました。

<まとめ>

皆さんの組織でも、ドメイン コントローラーが予期しない再起動を起こす前に、本問題事象に対処したいところですね。来週からの対応が大変になりそうですね。取り急ぎの情報共有でした。

2024/03/26: Windows Server 2019 向けの更新プログラムがリリースされた内容を追記