Windows Server: März 2024-Update verursacht LSASS Memory-Leak auf DCs

Windows[English]Ich ziehe es mal separat in einem Blog-Beitrag heraus, nachdem mich mehrere Blog-Leser darauf hingewiesen haben. Das März 2024-Sicherheitsupdate vom 12.3.2024 für Windows Server verursacht ein Speicherleck in LSASS (bei allen Windows Server-Varianten), was dann nach einiger Zeit zu Performance-Problemen auf Domain Controllern (DC) führt und diese ggf. ins digitale Nirvana befördert. Hier einige Informationen zu diesem Sachverhalt.


Anzeige

Erster Leserhinweis

Blog-Leser riedenthied hat sich gestern Nachmittag (19.3.2024) in diesem Kommentar gemeldet und berichtete über ein massives Problem auf Domain Controllern nach Installation des März 2024-Sicherheitsupdates.

Es scheint wohl ein Memory Leak in der lsass.exe zu geben, was die Domain Controller über kurz oder lang zum Absturz bringt. […]

Scheint alle Servervarianten zu betreffen, von 2016 bis 2022. Je größer die Umgebung, desto schneller geht es. Ein Statement von Microsoft habe ich noch nicht gelesen, aber mehrere User melden, dass sie Support Tickets bei MS laufen haben.

Deinstallation des März-Updates hilft wohl, aber das werde ich gerade auf den Domain Controllern eher nicht in Erwägung ziehen. Lieber starte ich sie alle paar Tage durch.

Der Leser erwähnte, dass dieser Bug bereits im Blog-Beitrag Exchange Server Sicherheits-Updates (12. März 2024) zum 14. März 2024 in diesem Kommentar durch den Blog-Leser Dreise angesprochen wurde. Ich hatte das sogar gesehen, weil es aber auch auf Windows 11-Clients auftrat bisher nicht separat thematisiert und wollte es weiter beobachten. Seit dem 19.3.2024 schlagen aber die Lesermeldungen bei mir ein, die auf dieses Problem hinweisen.

Diesen Bug in Form eines lsass-Speicherlecks gab es bereits im November 2022, ich hatte das seinerzeit im Blog-Beitrag Windows Server November 2022-Updates verursachen LSASS-Memory Leak thematisiert.

Ein weiterer Leserhinweis

Zum 19. März 2024 haben sich auch Sebastian D. und Christopher G. bei mir per Mail gemeldet und den Fehler berichtet. Sebastian wies darauf hin, dass es im Exchange Forum eine Erkenntnis gebe, dass ggf. die März 2024 Updates von Windows auf den DCs zu einem stetig ansteigenden Speicherverbrauch von Isass führen. Er schrieb:

Im Exchange Forum gibt es eine Erkenntnis, dass ggf. die März Updates von Windows auf den DCs zu einem stetig ansteigenden Speicherverbrauch von lsass sorgen. Einfach mal beim Link nach Isass suchen. Muss nichts Schlimmes am Ende sein. Ggf. melden auch andere die Probleme und ggf. führt es erst nach Zeit X zum Problem.

Christopher hat das Ganze aber in seiner Mail detaillierter beschrieben und gleich Belege für das Speicherleck geliefert.  Dazu schrieb mir Christopher:

Guten Tag Herr Born,

seit den aktuellen Windows Updates haben wir unteranderem erhebliche Performance Probleme auf den DCs. Da ich zu dem Thema auch schon in Ihrem Blog  (Kommentar von Dreise) andere User entdeckt habe, welche das gleiche Problem haben, wollte ich Sie hierauf mal aufmerksam machen. Ggf. ist das für Sie auch interessant bzw. können Sie mit Ihrer Reichweite vielleicht sogar zu einer Lösung beitragen.

Der Leser schrieb, dass man auch z.B. in der Microsoft Tech Community (gleicher Link zum Exchange-Beitrag wie oben) ähnliche Meldungen zu diesem Problem findet. Ich habe mal den Post nachfolgend herausgezogen.

Memory leak in Lsass from March 2024 update
Zum Vergrößern klicken

Christoph beschreibt das Problem so: Seit unsere Domaincontroller (Windows Server 2019) am Wochenende die aktuellen Windows Updates (siehe Bild) installiert haben, laufen diese regelmäßig auf >95% Arbeitsspeicher. Nachfolgender Screenshot zeigt diese Auslastung:

Memory leak in AD domain service


Anzeige

Es handelt sich im konkreten Fall des Lesers um folgendes Update (KB5034768, siehe folgenden Screenshot), aber es sind gemäß obigen Ausführungen wohl alle Windows Server betroffen.

Update March 2024

Anmerkung: In nachfolgendem Kommentar weist ein Blog-Leser darauf hin, dass Update KB5034768  aus dem Feb. 2024 ist, siehe. Alle obigen Kommentare sprechen von einem März 2024-Updates als Ursache. Ob es ein Fehler des Lesers war, das Update KB5034768 hier anzugeben, ist unklar – ich frage da nach.

Ergänzung: Der Leser hat sich gemeldet und schrieb "war tatsächlich ein Irrtum. Konnte das ganze aktuell mal testweise nachstellen. Ich habe auf einem DC das Update KB5035849 deinstalliert und auf dem System ist der Fehler heute Morgen nicht mehr aufgetreten. Warum nach der Deinstallation von KB5035849 das Update KB5034768 mit Installationsdatum gestern angezeigt wurde, kann ich nicht erklären. Vermutlich gibt es da eine mir aktuell unbekannte Abhängigkeit."

Christoph schreibt dazu: "Die dauerhafte Deinstallation der Updates war für uns keine Option und bisher konnte es auch jeweils über einen Neustart vorübergehend gelöst werden. "

Ergänzung: Das Problem wurde durch Microsoft inzwischen bestätigt, siehe Windows Server (Kerberos) LSASS-Memory-Leak durch März 2024-Updates bestätigt.

Ergänzung 2: Es gibt erste Sonderupdates (Out-of-band-Updates), die das Problem beheben, siehe Windows Server: Fix für (Kerberos) LSASS-Memory-Leak durch März 2024-Updates.

Ähnliche Artikel:
Microsoft Security Update Summary (12. März 2024)
Patchday: Windows 10-Updates (12. März 2024)
Patchday: Windows 11/Server 2022-Updates (12. März 2024)
Windows Server 2012 / R2 und Windows 7 (12. März 2024)

Windows 10/Server 2019: Update KB5035849 scheitert mit Fehler 0xd0000034
Windows Server (Kerberos) LSASS-Memory-Leak durch März 2024-Updates bestätig
Windows Server: Fix für (Kerberos) LSASS-Memory-Leak durch März 2024-Updates


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Störung, Update, Windows Server abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

20 Antworten zu Windows Server: März 2024-Update verursacht LSASS Memory-Leak auf DCs

  1. Benny sagt:

    Bei uns laufen beide DC`s auch nach dem Update einwandfrei. Keine Störungen zu erkennen. Es werden ca. 120 Rechner verwaltet.

    • Heinsolo sagt:

      Wir haben so ziemlich die gleiche Dimension an DCs und PCs.
      Bis dato keine Probleme (Server 2022).
      Wie immer: Vielen Dank für die Berichterstattung!

  2. T. Weiß sagt:

    Kleiner Hinweis
    Da hat sich in der Überschrift und im zweiten Satz das falsche Jahr (2023) eingeschlichen.

    Aber das Problem kommt mir sehr bekannt vor, da war doch mal was mit lsass und Memory: https://www.borncity.com/blog/2022/11/25/windows-server-november-2022-updates-verursachen-lsass-memory-leak/

  3. Mika sagt:

    Hm, gerade mal nachgeschaut: auf unserem DC (Server 2022) dümpelt lsaas bei 0,1-0,4 % und 108 MB, keine Beeinträchtigung durch's letzte Update erkennbar …

  4. Fritz sagt:

    Kann es sein, daß sich durch den Artikeltext ein Copy-Paste-Fehler zieht?
    Soweit ich weiß heißt der Prozeß "LSASS" (https://en.wikipedia.org/wiki/Local_Security_Authority_Subsystem_Service).
    An manchen Stellen steht "ISAAS". Oder ist von einem anderen Modul die Rede?

    LSASS ist auf den Domaincontrollern hier (8 Stück unter Server 2019, gepatcht letzten Freitag) im Moment unauffällig.

  5. Torsten sagt:

    Bei uns belegt lsass.exe gleichbleibend ca. 3GB. Performanceprobleme sehe ich aktuell nicht. (Server 2022 mit 32GB Speicher). Danke für den Hinweis.Wir beobachten.

  6. Anonymous sagt:

    "Es handelt sich im konkreten Fall um folgendes Update von März 2024 (KB5034768), .."
    Das März Update 2024 für Win10/Server2019 ist doch KB5035849 .

    KB5034768 ist das Februar Update 2024.

  7. Robert Glöckner sagt:

    ich habe mal bei von mir betreuten Systemen geschaut:
    – Server2019 DC, keine weiteren Funktionen, 20 User – LSASS zieht etwa 120MB, letzter Neustart zum Patchday am 15.3.
    – Server2016 DC, 5 User. dort liegen auch Shares für Profile und Benutzerverzeichnisse – LSASS zieht knapp 300MB und ich kann zusehen wie es langsam mehr wird.

    Der Zugriff auf freigegebene Ordner erfordert ja ständig eine Authentifizierung und wenn da etwas leakt, könnte das die Beobachtung erklären.

    • HoldThePhone sagt:

      Hier alles soweit unauffällig.
      3 DCs (2016 u. 2019), alle letzte Woche gepatched.
      RAM Auslastung des Dienstes stabil bei 300 – 350MB laut Taskmanager.
      Die Beobachtungen bzgl. freigegebener Ordner kann ich bei uns nicht bestätigen, auf den Servern liegen auch Shares die konstant von ~150 Usern im Zugriff sind.

  8. Dreise sagt:

    Moin, wir hatten das Problem auch, RAM lief voll. Update deinstalliert, alles wieder normal. Wir haben noch Server 2016 …

    Bei uns läuft nachts eine Archivierung von Daten die viele Kerboros Anfragen erzeugt und das hat vermutlich den RAM volllaufen lassen.

    Gruß

  9. HoldThePhone sagt:

    Hier ebenso unauffällig.
    3 DCs (2016 u. 2019), alle letzte Woche gepatched.
    RAM Auslastung des Dienstes stabil bei 300 – 350MB laut Taskmanager.

  10. SteveO sagt:

    Hälfte unserer DCs hat die März Updates installiert. Diese Hälfte hat LSASS.exe nun mit 3-4GB. Die nicht gepatchte andere Hälfte liegt bei 1-2GB. 10k User 5k Clients

  11. riedenthied sagt:

    Ich habe die beiden DCs gestern neugestartet. Einer liegt heute schon wieder bei 4 GB, der andere bei 2 GB. Auf dem ersten treibt vor allem der Exchange sein Unwesen und hat wesentlich mehr Verbindungen offen.

    Wir haben etwa 2000 Clients/Server und 1500 User.

    In zwei anderen sehr kleinen Domänen nimmt sich der Prozess nur 150 MB, also unauffällig. Was aber nicht heißt, dass es da nicht auch langsam zunimmt.

  12. Bernhard Diener sagt:

    Hier ist davon auf 2x 2016er DCs nichts zu merken. Update ist seit einer Woche drauf, seit dem laufen sie durch, keine Zunahme, RAM-Last wie immer, Lsass.exe bei ca. 500 MB.

  13. Dominik sagt:

    Hallo zusammen,

    bei meinem physischen 2019er DC und meinem virtuellen 2016er DC keinerlei Probleme.

  14. ToWa sagt:

    Hallo zusammen,
    unsere beiden DCs sind nun seit knapp 1 Woche auf dem aktuellen Stand, auf Basis des Beitrages hier habe ich mir gerade mal die RAM-Auslastung angesehen.
    Der primäre DC läuft wie gewohnt mit 1,6 / 4 GB RAM und der sekundäre DC mit 1,1 / 2 GB RAM.
    Also unkritisch und alles wie gehabt.

    Es sei aber gesagt, dass es sich hierbei um unter Hyper-V virtualisierte Maschinen handelt mit Server 2019 Datacenter als Core – Installation ohne GUI.

  15. Hubert Enzi sagt:

    Mittlerweile von MS bestätigt: WI748847, WI748848, WI748849 (Windows issue reports)

  16. ap23 sagt:

    Moin,

    verstehe ich das richtig, das Problem mit dem März-Update betrifft nur DCs ?
    Die Installation des Security-Updates auf Member-Server sollte unproblematisch sein ?

    Danke und Gruß.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.