Windows 10 V1607: Update KB4571694 erzeugt ID 5827-Events und brickt MMC

[English]Kurze Frage an Administratoren, die noch Windows 10 Enterprise LTSC V1607 oder Windows Server 2016 im Einsatz haben. Wird die Ereignisanzeige mit Event ID 5827-Einträgen geflutet, sobald Update KB4571694 vom 11. August 2020 installiert ist? Das Thema hatte ich bereits im Blog, jetzt ist ein Blog-Leser in die Falle gelaufen. Problem ist, dass beim Betroffenen die von Microsoft geforderten Änderungen per MMC nicht möglich sind, da eine DLL plötzlich kaputt ist und Fehler erzeugt.


Anzeige

Update KB4571694 für Windows 10 V1607

Das zum 11. August 2020 freigegebene kumulative Update KB4571694 steht nur noch für Windows 10 Version 1607: Enterprise LTSC sowie Windows Server 2016 bereit. Laut KB-Artikel bringt das Sicherheits-Update zahlreiche Fixes mit. Hier die Highlights:

  • Updates an issue that causes File Explorer to close unexpectedly when creating shortcuts.
  • Updates for verifying usernames and passwords.
  • Updates to improve security when Windows performs basic operations.
  • Updates for storing and managing files.

Details zu den Fixes sind dem oben verlinkten Supportbeitrag zu entnehmen.

Ungereimtheiten bei Update KB4571694

Über das soziale Netzwerk mewe.com ist mir eine Lesermeldung von Black Smith zugegangen. Er hat das Ganze in einer DataCenter Server-Umgebung mit Active Directory (AD) installiert und ist auf Schwierigkeiten gestoßen. Hier seine Beschreibung:

Update KB4571694. Mal wieder.

Habe es zwar vermeintlich ausgesperrt, es hat aber den Weg auf diverse 2016 Datacenterserver geschafft. Wenn jemand sachdienliche Hinweise hätte, warum mit diesem Update das Ereignisprotokoll auf jeden der AD angehörigen Server explodiert, wäre ich dankbar. Event ID 5827. Und wenn dann noch eine Erklärung für dieses manighafte Verhalten bezüglich der vielfachen Installation dabei rum käme…ich wäre schwer beeindruckt…

Ich hatte bereits im Blog-Beitrag Achtung: Windows Domain Controller erzeugen plötzlich EventID 5829-Warnungen (11.8.2020) auf den Sachverhalt hingewiesen, dass das Update vom 11. August 2020 bei Active Directory (AD) Domain Controllern EventID 5827 – 5829-Warnungen in der Ereignisanzeige erzeugt.

Im Artikel hatte ich auch auf einen Support-Beitrag von Microsoft mit Hinweisen, wie man das abstellt, verwiesen. Der Benutzer hat bisher versucht, die Hinweise in diesem Microsoft Supportbeitrag Verwalten der Änderungen in den sicheren Netlogon Kanalverbindungen, die CVE-2020-1472 zugeordnet sind umzusetzen. Er schreibt aber, dass das am Punkt:

Wechseln Sie in Gruppenrichtlinie zu Computerkonfiguration > Windows-Einstellung > Sicherheitseinstellungen > lokale Richtlinie > Sicherheitsoptionen

scheitert. Beim Betroffenen erscheint ein ominöser wsecedit.dll-Fehler, im nachfolgenden Screenshot erkennbar ist. Damit verweigert die MMC das Einbinden es Snap-In (siehe folgende Screenshots).

wsecedit.dll Error


Anzeige

MMC-Error

Die Umgebung: Virtualisierte Server 2016 Datacenter Edition, laut Informationen des Betroffenen voll durch gepatcht. ESX-Host 6.7, aktuelle Patches. Bei ihm sind 19 Stück betroffen, Veeam Backup hat die Funktion wegen Authentifizierungsfehlern auch aufgegeben. Irgend jemand, der ähnliche Erfahrungen gemacht oder einen Tipp hat.

Ergänzung: Beachtet den nachfolgenden Kommentar von Carsten. Der MMC-Fehler wird durch andere Nutzer in einer Microsoft Q&A bestätigt.

Die Lösung für die Event-Einträge wäre demnach: Den September Patch KB4577015 deinstallieren – dann die Sicherheitsanpassungen für die TLS-Änderungen durch Microsoft vorzunehmen, so dass die Events weg sind. Dann den September Patch ggf. wieder installieren.


Anzeige


Dieser Beitrag wurde unter Update, Windows 10 abgelegt und mit Problem, Update, Windows 10 verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Windows 10 V1607: Update KB4571694 erzeugt ID 5827-Events und brickt MMC


  1. Anzeige
  2. Carsten sagt:

    Das Problem mit der GPO haben wir auf unseren Server 2016 DCs auch. Server 2019 scheint davon anscheinend nicht betroffen zu sein, wenn man Reddit glauben darf. Da hat Microsoft mal wieder richtig tolle Verbesserungen eingeführt…

  3. Robert Richter sagt:

    Also wir reden hier vom August Update und nicht vom aktuellen September Update, wenn ich das richtig verstanden habe?
    Wir haben z.Zt. 3 Windows Server 2016 im AD, die aber -im Vergleich zu unseren anderen DCs, welche auf 2019 laufen- nur als Read only Domain Controller (RODC) laufen. Also die 2019er sind bei uns vollständige DCs (Read/Write) und die 2016er sind alle nur RODCs. Da haben wir mit den August-Patches nichts Ungewöhnliches in den Event-Logs, also alle 3 absolut ohne Probleme.

  4. Anzeige

  5. Blacksmith sagt:

    Hallo und Danke zusammen.

    Das besagte Update deinstalliert, in der GPO den Punkt “Überprüfen Sie, ob Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer) auf Aktiviert festgelegt ist.” gecheckt und gesetzt, Reboot aller beteiligten Server und…es gibt immer noch von jedem beteiligten Server 2016 eine Meldung der Event ID 5827 auf den-AD-Servern…;-/.

    Was von dieser Seite Punkt 2A mache ich da wohl falsch…

    https://support.microsoft.com/de-de/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

    Danke und Gruß
    Blacksmith

  6. Michael sagt:

    Einmal jährlich Mal über die “Microsoft Security Baselines” drüber gehen. Dort stehen dann empfohlene Grundeinstellungen an Organisations Gruppenrichtlinien, dort wäre zB schon der entscheidende Eintrag drin gewesen, stolpert man nächstes Mal nicht darüber…auch wenn es eigentlich Microsofts Job wäre das System nicht mit Updates zu zerstören.

    Zum Problem, dass sich der GPO Editor nicht mehr lokal öffnen lässt…hat schon Mal jemand versucht den über die MMC Remote von einem nicht betroffenen Pc aus zu öffnen?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.