Windows 10 2004/20H2 lsass.exe-Absturzproblem (Okt. 2020) bestätigt

[English]In Windows 10 20H2 (und auch Version 2004) stürzt bei einigen Nutzern das Local Security Authority Subsystem Service (lsass.exe) bei bestimmten Konstellationen (bevorzugt nach Upgrades von Windows 7) ab. Jetzt hat Microsoft Details zu diesem Bug veröffentlicht und den Grund für die Abstürze benannt.


Anzeige

Worum geht es beim lsass.exe-Problem genau?

Blog-Leser Roman hatte sich bei mir im Blog wegen Problemen mit der Gruppenverwaltung unter Windows 10 20H2 gemeldet. Roman leidet auf dem System unter Abstürzen von Lsass.exe (das Local Security Authority Subsystem Service). Roman schrieb:

Jetzt gibt es einen neuen Fehler beim 20H2 Update. lsass.exe stürzt z.B. im Computermanagement ab wenn man die Gruppen auflisten will, aber noch bei vielen anderen Konstellationen.

Jedoch mit einer anderen Fehlernummer als noch im Juni. Diesmal ist es der Fehler c0000374. Mittels Powershell kann man aber alle Gruppen anzeigen lassen und auch Mitgliedschaften ändern.

Ich hatte dann etwas recherchiert und fand weitere Nutzer, die dieses Verhalten bestätigen konnten. Es kristallisierte sich heraus, dass der Bug wohl verstärkt bei Systemen auftritt, die von Windows 7 auf Windows 10 20H2 aktualisiert wurden. Eine Neuinstallation von Windows 10 20H2  beseitigte das Problem. Das Ganze lässt sich im Blog-Beitrag Windows 10 20H2: Abstürze von lsass.exe (Okt. 2020) und den zugehörigen Kommentaren nachlesen.

Von meinen englischsprachigen Blog-Lesern gab es dann noch zwei kryptische Hinweise. Blog-Leser Seth fragte in diesem Kommentar Did you have the guest account renamed with GP on any of the affected systems prior to updating to 20H2?, womit ich aber wenig anfangen konnte. Und Blog-Leser Hans Verduyck schrieb in diesem Kommentar:

eventtrac Replied on November 5, 2020
LSASS crashes on 20H2 devices if built-in accounts in the local SAM account database were renamed on the OS being in-place upgraded to 20H2.

Damit konnte ich zwar wenig anfangen, aber die beiden Puzzleteile fielen ins Bild. Ich hatte das Problem zudem über das US Microsoft-Answers-Forum an alle Microsoft-Moderatoren eskaliert und um Weiterleitung an die Entwickler gebeten. Zudem waren die Social Media-Teams von Microsoft, die für Updates und für Windows IT-Pro-Funktionen zuständig sind, von mir per Twitter auf den englischsprachigen Blog-Beitrag hingewiesen worden.


Anzeige

Microsoft legt Details zum lsass.exe-Problem offen

Mit der Rückmeldung von Blog-Leser Hans Verduyck bin ich dann weiter gekommen und stieß bei Microsoft auf einen Supportbeitrag After updating to Windows 10, version 20H2, you might receive an error when accessing the sign-in options or users MMC snap-in, der das Ganze Problem erklärt. Dort schreibt Microsoft:

After upgrading to Windows 10, version 20H2, you might receive the error in LSASS.exe with the text "Your PC will automatically restart in one minute" when interacting with any dialog window that lists users, for example accessing the sign-in options settings app page or the users folder in the Local user and groups MMC snap-in. This issue only affects devices in which any of the local built-in accounts have been renamed, such as Administrator or Guest. You might also receive an error in the Application Event log with Event ID 1015 that LSASS.EXE failed with status code C0000374.

Also genau das Fehlerszenario, welches ich in meinem Blog-Beitrag oben aufbereitet habe. Dort findet sich aber der Hinweis, dass die Ursache eine Umbenennung der Build-In Benutzerkonten (kann nur Administrator und Guest sein).

Ergänzung: Inzwischen hat Microsoft auf der Windows 10 Statusseite diesen Text mit ergänzenden Informationen veröffentlicht. Problem sind wohl mehrere Konten mit gleicher SID.

Microsoft setzt Upgrade-Blocker

Um die Update-Erfahrung der Nutzer zu verbessern, hat Microsoft einen Kompatibilitäts-Upgrade-Blocker für betroffene Maschinen definiert, die ein Upgrade auf Maschinen für Windows 10 Version 2004 oder Windows 10 Version 20H2, eingeschränkt. Wer nun versucht, solche Maschinen auf Windows 10 Version 2004 oder Windows 10 Version 20H2 zu aktualisieren, wird die folgende Meldung erhalten:

Dieser PC kann nicht auf Windows 10 aktualisiert werden. Ihre PC-Einstellungen werden auf dieser Version von Windows 10 noch nicht unterstützt. Windows Update wird Ihnen automatisch diese Version von Windows 10 anbieten, wenn diese Einstellungen unterstützt werden.

Windows 10 Upgrade-Blocker-Meldung

Obiger Screenshot zeigt die englischsprachige Meldung, die Microsoft im Supportbeitrag veröffentlicht hat. Microsoft arbeitet an einer Lösung für dieses Problem und wird in einer der kommenden Wochen ein Update mit einem Fix veröffentlichen. In den kommenden Wochen wollen die Microsoft-Entwickler auch aktualisierte Bundles und aufgefrischte Medien bereitstellen, um das Problem zu verhindern.

Es gibt aber einen Workaround

Microsoft rät zudem vom Versuch ab, Windows manuell über die Schaltfläche Jetzt aktualisieren oder über das Media Creation Tool (MCT) zwangsweise zu aktualisieren und zu warten, bis der oben erwähnte Fix verfügbar ist und installiert wurde. Wenn das System bereits aktualisiert wurde und der Bug auftritt, empfiehlt Microsoft ein Rollback auf die vorherige Windows-Version.

Der Workaround, den ich für Nutzer vorschlage, die unbedingt auf die neue Windows 10-Version aktualisieren möchten oder müssen: Führt kein Upgrade aus, sondern nehmt eine Neuinstallation von Windows 10 2004 oder 20H2 vor. Dann tritt der Fehler nach meinen bisherigen Informationen nicht auf (es wurden ja noch keine Build-In-Kontennamen umbenannt). Ein sogenanntes Inplace-Upgrade als Reparaturinstallation sollte dagegen nicht helfen, da das nichts am ursprünglichen Problem (Konten umbenannt) ändern kann.

An dieser Stelle gehen mir aber Zweifel im Kopf herum, ob die benannte Ursache 'Umbenennung der Build-In-Benutzerkonten' wirklich die Ursache ist. Wer benennt schon Guests oder Administrator auf einem System um? Vielleicht können die Betroffenen etwas dazu sagen und einen Kommentar hinterlassen.


Anzeige

Dieser Beitrag wurde unter Windows 10 abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

10 Antworten zu Windows 10 2004/20H2 lsass.exe-Absturzproblem (Okt. 2020) bestätigt

  1. CL sagt:

    An dieser Stelle gehen mir aber Zweifel im Kopf herum, ob die benannte Ursache 'Umbenennung der Build-In-Benutzerkonten' wirklich die Ursache ist. Wer benennt schon Guests oder Administrator auf einem System um? Vielleicht können die Betroffenen etwas dazu sagen und einen Kommentar hinterlassen.

    Wir sind heute auch von dem Safeguard getroffen worden, beim Upgrade auf 2004. Eine Umbenennung ist in Firmenumgebungen gängig und wird auch aus Security Seite zum Beispiel vom CIS empfohlen.

    Seite 138

  2. MOM20xx sagt:

    vielleicht sollte microsoft dieses unbenennen von builtin accounts generell sperren. dieses security by obscurity denken gehört mal abgestellt.

  3. Martin Feuerstein sagt:

    Unter Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinie/Sicherheitsoptionen/Konten gibts die Policy "Konten: Administrator umbenennen". Wenn solch eine Richtlinie definierbar ist (und auf Clients angewendet wird), wäre es doch schon schräg, wenn eine solche Änderung Abstürze verursachen würde. Hab das nicht auf das beschriebene Verhalten getestet, aber vielleicht bringt das den einen oder anderen weiter.
    Ich kenne andererseits auch einen Bug bei Oracle-Datenbanken, wo es zu Problemen führt, wenn keine lokale Gruppe namens "Administrators" (auf Englisch!) vorhanden ist.

    • Mark Heitbrink sagt:

      Du erklärst selber den Grund, warum das per GPO nicht "schräg" ist. GPOs zaubern nicht, die benennen ihn einfach um. Genauso, wie es per Hand gehen würde.
      Wenn du das machst, sterben diverse Deployment Softwaren nach dem Joindomain, da die sich immer mit "Administrator" anmelden, denn vor dem JoinDomain hiess er noch so. Deswegen JoinDomain immer in einem OU ohne Richtlinien.
      Microsoft selbst veröffentlicht seit Jahren Tools und Scripte, die nicht auf die Wellknown SID verweisen, sondern immer Administrators oder Self etc verwenden. String und immer Englisch.

  4. Ralf sagt:

    Bin definitiv vom Problem betroffen. Es wurden keine Konten jemals umbenannt, Update auf 2004 funktioniert in allen Konstellationen einwandfrei. Es wurden aber neue Administratoren zusätzlich hinzugefügt. Denke eher, das MS da ein Problem damit hat, das ein falsches Administratoren-Konto beim Update auf 20H2 herangezogen wird.

  5. Malte sagt:

    Ich bin bei meiner TestVM auch davon betroffen gewesen. Wir benennen das Administratorkonto auch um. Ich probiere es mal aus wenn ich das Konto wieder umbenenne.

    • Malte sagt:

      Ein Upgrade konnte ich jetzt ohne Probleme durchführen. Stock Windows 10 2004, ohne Änderung der Built-In Accounts. Das Umbenennen under 20H2 stellte danach kein Problem mehr dar.
      Vorab wurden alle zur Verfügung stehenden Updates installiert

  6. sagt:

    Ich bin ebenfalls betroffen, wir benennen bei Ersteinrichtung auf den Clients das vordefinierte lokale Administratorkonto um. Nachdem auf keinen der Clients unterschiedlichster Art ein Upgrade von 1909 auf 2004 oder 20H2 möglich war ist die Sache jetzt wenigstens klar. Hoffentlich wird das dieses Jahr noch behoben…

  7. Dennis sagt:

    Ich habe mein System komplett neu Aufgesetzt und Trotzdem diesen Fehler. Ich habe keine Konten umbenannt oder sonstiges. Es ist alles frisch und unkonfiguriert. Nur die installierten Treiber und die normal angebotenen Win10 Updates.
    Der Fehler tritt auch nicht immer auf. Schalte ich den PC das erste mal an kommt entweder direkt ein Bluescreen oder die Meldung der PC wird in weniger als einer Minute Neugestartet. Beim nächsten mal Startet er normal!

    Ich habe das Gefühl es könnte am Schnellstart liegen.
    Werde ich mal testen.
    Es geht mir auch mehr darum das es nicht nur an einem upgrade von Win7 liegt da es bei mir eine frische Installation ist.

    ====
    Edition Windows 10 Pro
    Version 20H2
    Installiert am ‎24.‎11.‎2020
    Betriebssystembuild 19042.630
    Leistung Windows Feature Experience Pack 120.2212.31.0
    ====

    Folgende Fehler treten gemeinsam auf:
    ====
    Das Sicherheitspaket "Microsoft Unified Security Protocol Provider" verursachte eine Ausnahme. Daten: Ausnahmeinformationen.
    ====
    Name der fehlerhaften Anwendung: lsass.exe, Version: 10.0.19041.546, Zeitstempel: 0xa76a8b44
    Name des fehlerhaften Moduls: bcryptprimitives.dll, Version: 10.0.19041.546, Zeitstempel: 0x0b64b4c2
    Ausnahmecode: 0xc0000005
    Fehleroffset: 0x000000000001683b
    ID des fehlerhaften Prozesses: 0x358
    Startzeit der fehlerhaften Anwendung: 0x01d6c43b9cf22960
    Pfad der fehlerhaften Anwendung: C:\Windows\system32\lsass.exe
    Pfad des fehlerhaften Moduls: C:\Windows\System32\bcryptprimitives.dll
    Berichtskennung: 3af654cd-c137-4f7b-933d-0386ed41136f
    Vollständiger Name des fehlerhaften Pakets:
    Anwendungs-ID, die relativ zum fehlerhaften Paket ist:
    ====
    Das Sicherheitspaket "Default TLS SSP" verursachte eine Ausnahme. Daten: Ausnahmeinformationen.
    ====
    Ein kritischer Systemprozess C:\Windows\system32\lsass.exe ist fehlgeschlagen mit den Statuscode c0000005. Der Computer muss neu gestartet werden.
    ====
    Der Dienst "wlidsvc" konnte sich nicht als "NT AUTHORITY\SYSTEM" mit dem aktuellen Kennwort aufgrund des folgenden Fehlers anmelden:
    Der RPC-Server ist nicht verfügbar.

    Vergewissern Sie sich, dass der Dienst richtig konfiguriert ist im Dienste-Snap-In in der Microsoft Management Console (MMC).
    ====
    Der Dienst "Anmelde-Assistent für Microsoft-Konten" wurde aufgrund folgenden Fehlers nicht gestartet:
    Der Dienst konnte wegen einer fehlerhaften Anmeldung nicht gestartet werden.
    ====

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.