[English]Kurze Information an Administratoren und gleichzeitig die Frage in die Runde, ob jemand betroffen ist. Ein Blog-Leser hat mich darüber informiert, dass das Update KB5011551 eine Änderung von Kennwörtern verhindert. Es handelt sich dabei um ein Preview-Update vom 22. März 2022, welches wohl nicht jeder Administrator auf seinen Maschinen installieren wird. Hier eine kurze Übersicht, was mir bisher bekannt ist.
Anzeige
Hinweis auf Probleme mit KB5011551
Vor einigen Stunden hat mich Blog-Leser Rico N. per Mail kontaktiert und auf ein Problem in seiner Konstellation mit zwei Windows Server 2019-Systemen (entsprechen ja auf dem Windows 10 1809 Entwicklungsstrang) hingewiesen. Als Hinweis, warum dort das Update installiert wurde, folgender Hinweis von ihm.
Wir betreiben zwei Windows Server 2019 (Version 1809) als Domain Controller in einem immerwährenden Update-Zustand, da wir eine ***** sind, welche permanent unter datenschutzrechtlicher externen Kontrolle steht und für eine erfolgreiche Zertifizierung jederzeit eine lückenlose Update-Politik nachweisen können müssen.
Das bedeutet wohl auch, dass Vorschau-Updates binnen einer gewissen Zeit auf den Maschinen installiert werden. Wann die Installation genau erfolgte, ist mir nicht bekannt. Rico schrieb mir aber, dass der Ärger am Freitag, den 1. April 2022 los ging.
Nun folgten am Freitag auf einem File-Server Windows Server 2012 R2 Probleme, welche keiner nachvollziehen konnte. Fast alle Sicherheitsgruppen waren aus den Verzeichnissen verschwunden. Somit sah keiner mehr in der gesamten Einrichtung irgendeinen Ordner, geschweige denn eine Datei.
Der Lösungsansatz, den die Administration in diesem Fall versuchte, bestand darin ein älteres Back vom 30. März 2022 auf den File Server mit Windows Server 2012 R2 zurückzuspielen:
Über Nacht haben wir den File-Server dann auf ein Backup vom Mittwoch letzte Woche zurückgesetzt und dachten, damit seien die Probleme aus der Welt geschafft ABER: weit gefehlt!
Montag, den 4. April 2022 gab es dann die nächsten Probleme, wie Nico mir in seiner E-Mail schreibt. Plötzlich gab es Probleme beim Ändern von Benutzerkennwörtern. Rico schrieb dazu:
Heute Morgen begann dann der nächste Trouble, die Passwortänderungsaufforderung schlug bei einigen unserer Mitarbeiter zu und sie bekamen bei Dialog Passwort ändern nach/beim Ändern angezeigt, dass sie erst das Passwort ändern müssen.
Das Problem ließ sich auf das Vorschau-Update KB5011551 vom 22. März 2022 zurückführen, denn Rico schreibt:
Nach Versuch des Einspielens von Backup's der DC's, habe ich dann einfach im Betreff genanntes Update KB5011551 deinstalliert und mit WUSHWOHIDE.DIAGCAB gegen mögliche Neuinstallation ausgeschlossen. Voila, Passwortänderung geht….
So viel zu seinen Erfahrungen mit diesem Vorschau-Update – an dieser Stelle danke für diese Hinweise. Das betreffende Update KB5011551 hatte ich im Blog-Beitrag Windows 10 / Windows Server Preview Updates (22.3.2022) vorgestellt. Das Update KB5011551 steht für Windows 10 Enterprise LTSC 2019 sowie Windows Server 2019 bereit und hebt die Build auf 17763.2746 an.
Weitere Hinweise auf Passwort-Probleme
Rico merkte noch an, dass er am gestrigen 4. April 2022 schon sehr viele Einträge bei Google mit Fragen zu diesem Thema gefunden habe, welche durch die Bank unbeantwortet blieben. War auch der Grund, mich am späteren gestrigen Nachmittag über das Problem zu informieren – mir war diesbezüglich noch nicht bekannt. Ich habe beim Schreiben dieses Beitrags mal eine kurze Websuche gestartet und bin beispielsweise auf reddit.com in diesem Beitrag fündig geworden.
KB5011551 causing password change loop
Problem: we reset user password in AD and tick box "user must change password". User goes to change password but stuck in a loop saying password must be changed before logging in.
Did some research and see others having the same issue after installing KB5011551. Attempted to uninstall through control panel but getting an error that not all components have been removed. Tried to uninstall with below command:
DISM /online /remove-package /packagename:package_for_rollupFix…….
I get the message:
An error occurred – package_for_rollupFix error: 0x8007371b Error 14107 One or more required members of the transaction are not present.
Any other tips on removing this?
Edit: I inherited this setup from previous Sysadmin. We have secondary DC and was able to uninstall the update from DC2. I'm thinking I may need to restore DC1. All FSMO roles are currently assigned to DC1. Should I seize all roles to DC2, restore DC1 to last week, then move some/all roles back?
Auch dort wird das Problem mit der Passwort-Änderung, die nicht möglich ist, auf einem Windows Server 2019, der als Domain Controller fungiert, bestätigt. In der Microsoft Techcommunity gibt es diesen Eintrag vom 4. April 2022, der das Gleiche beschreibt:
Anzeige
Password Change Logon Loop Windows Server 2019 KB5011551
I have a problem
users passwords expire or I manual reset them with "User must change password" box checked. Every time they enter a new password it tells them to do it again in an endless loop. All of this happened after installing KB5011551. Is it possible to repair without uninstalling KB5011551 ?
Auch dort wird das Problem von einem zweiten Nutzer bestätigt – die Deinstallation von KB5011551 habe das Problem behoben – heißt es. Der älteste Eintrag könnte vom 30. März 2022 stammen und findet sich in der Microsoft Q&A-Session hier.
Password Change Logon Loop
Hello, I have this issue when users passwords expire or I manual reset them with "User must change password" box checked. Every time they enter a new password it tells them to do it again in an endless loop. Any ideas?
We have two DC's with Server 2019 and one DC with 2012.
We do do AD SYNC to Azure
PCS are mostly Windows 10 with a couple Windows 11
Das Problem wird in diesem Thread durch verschiedene Nutzer auf Domain Controllern unter Windows Server 2019, die als AD fungieren, bestätigt. Frage in die Runde: Gibt es weitere Betroffene? Wann wurde das Update installiert? Hat bereits jemand eine Lösung gefunden, ohne dass das Vorschau-Update KB5011551 für Windows Server 2019 deinstalliert und blockiert werden musste?
2015
Cool…
"Wir haben Dein Passwort schon… brauchst es nicht zu ändern…nein, wirklich nicht"
Kann ich leider bestätigen, neue Kollegen konnten Ihr Kennwort nicht ändern. Nach Deinstallation des Updates ist Problem behoben gewesen.
Bei uns dasselbe bei der regelmäßigen Passwort Änderung. Die IT at es wieder hinbekommen.
Also Preview-Updates auf Produktivsystemen zu installieren vor Allem DCs ist grob fahrlässig auch in Hinblick vor Allem Aufgrund der DSGVO, da es hier sehr viel wahrscheinlicher ist, dass es zu fehlverhalten der Systeme kommt – kompletter Unsinn das auf die DSGVO zu schieben, dass man Beta Software zu installieren hat. Unter lückenloser Updatepolitik verstehe ich jedenfalls nicht Software, die eigentlich für Testumgebungen gedacht ist, auf Produktivsystemen einzuspielen.
BTW von DCs spielt man keine Backups zurück, man setzt einen neuen auf, Restore vom Backup nur wenn alle "verloren" sind.
[++]
"BTW von DCs spielt man keine Backups zurück, man setzt einen neuen auf, Restore vom Backup nur wenn alle "verloren" sind."
+1
Genau so!
Und man installiert auf einem DC keinen anderen Rollen, damit man das Ding einfach Platt machen kann.
3h und das Thema erledigt.
Alles andere macht nur ärger.
Hoffentlich erfährt Microsoft von dem Problem, sonst ist nach dem kommenden Patchday (nächste Woche!) die Kagge am Dampfen!
allerdings
Nachdem was beim Exchange SU vom März veranstaltet wurde,…
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2022-exchange-server-security-updates/ba-p/3247586
…ist eher grob fahrlässig, Produktiv-Updates zügig einzuspielen.
Seit Monaten bei Windows- und Exchange-Updates jagt ein Chaos das nächste… :(
Ich habe das Social Media Team von Microsoft (@WindowsUpdate) auf Twitter in Kenntnis gesetzt und auf meinen englischsprachigen Artikel verlinkt. Die lesen aber i.d.R. in meinem Blog mit – und haben es jetzt auch direkt mitbekommen.
Übrigens, Firefox 99.0, 91.8.0 ESR, Chrome 100.0.4896.75, Edge 100.0.1185.29
Edge 100.0.1185.29 ist zum 1. April erschienen – Microsoft werkelt noch am Fix.
Guten Morgen,
ich habe bei zwei Servern (nicht DC) das Update installiert und danach erst diese News gefunden.
Nach der Deinstallation der Updates hängen die VMs nun bei 100% (blauer Bildschirm vor dem Login-Screen) und es geht nichts weiter … hat wer nen Tip?
Bin grad ratlos :(
Neustart bringt leider nichts
Besten Dank
Sebastian
Ok, Problem hat sich nun gelöst – nach ca 30 Minuten warten, kam das Loginfenster bei beiden Servern.
Kennwortänderung funktioniert weiterhin – gerade mit meinem User getestet
Eine zumindest ansatzweise technische Erklärung für so ein Verhalten wäre interessant. Was hängt da wo? Was ist in den 30 Minuten passiert? Vielleicht hat jemand eine Vermutung?
Es muss auf jeden Fall was getan haben, da CPU Auslastung hoch war und die Dienste alle normal gelaufen sind (z.B. PRTG, Virenscanner usw. – was halt auf den Servern installiert war)
Ich habe aktuell quasi das selbe Problem auf einem Server 2016 (DC) mit Windows 10 Clients. Ist dort auch etwas derartiges bekannt?
Bisher ist mir nichts untergekommen.