Windows Server: Fix für (Kerberos) LSASS-Memory-Leak durch März 2024-Updates

Windows[English]Microsoft hat zum 22. März 2024 ein Sonderupdate mit einem Fix für Windows Server veröffentlicht, mit dem ein LSASS-Memory-Leak, versursacht durch die März 2024-Updates, beseitigt wird. Ich hatte hier im Blog über den Fall berichtet, dass auf manchen Systemen Kerberos-Anfragen auf Domänencontrollern den Arbeitsspeicher voll laufen lassen. Die Server bekommen dann Performance-Probleme oder fallen sogar aus und mussten sporadisch neu gestartet werden. Dieses Problem soll durch die Sonderupdates sowohl bei lokalen als auch bei Cloud-basierten Active Directory-DLCs behoben werden. Für Windows Server 2019 gibt es noch keinen Fix. Ergänzung: Der Fix sollte seit dem 25.3.2024 verfügbar sein.


Anzeige

Hinweis und Bestätigung des Problems

Ich hatte das Problem die Tage im Blog-Beitrag Windows Server: März 2024-Update verursacht LSASS Memory-Leak auf DCs aufgegriffen, weil es entsprechende Benutzerberichte im Blog gab. Seit die März 2024-Sicherheitsupdate vom 12.3.2024 auf Windows Server-Systemen installiert sind, kommt es bei verschiedenen Nutzern zu Problemen. Ein Speicherleck in LSASS führt bei allen Windows Server-Varianten nach einiger Zeit zu Performance-Problemen auf Domain Controllern (DC). Komischer Weise wurde dieser Effekt nicht bei allen Systemen beobachtet, wie man in den Nutzerkommentaren zu obigem Blog-Beitrag nachlesen kann.

Microsoft hatte dann diesen Bug zum 20. März 2024 im Know Issues-Abschnitt für Windows Server bestätigt (siehe meinen Blog-Beitrag Windows Server (Kerberos) LSASS-Memory-Leak durch März 2024-Updates bestätigt). Microsoft gab seinerzeit an, dass nach der Installation der Sicherheitsupdates vom 12. März 2024 beim Local Security Authority Subsystem Service (LSASS) auf Domänencontrollern (DCs) ein Speicherleck auftreten kann. Verursacht wird dies, wenn lokale und Cloud-basierte Active Directory-Domänencontroller Kerberos-Authentifizierungsanforderungen bedienen.

Das Speicherleck kann so extrem werden, das es LSASS zum Absturz bringt, was einen ungeplanten Neustart der zugrunde liegenden Domänencontroller (DCs) auslöst. Laut Microsoft betrifft es nur Umgebungen in Unternehmen, die Windows Server-Plattformen mit folgenden Windows-Varianten verwenden.

  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2

Microsoft gab im Supportbeitrag an, dass die Ursache inzwischen ermittelt wurde und die Entwickler an einer Lösung arbeiten, "die in den nächsten Tagen veröffentlicht werden sollte".


Anzeige

Microsoft stellt einen Fix bereit

Zum 22. März 2024 hat Microsoft den Supportbeitrag Issue with Kerberos requests on domain controllers may cause LSASS memory leaks im Know Issues-Abschnitt für verschiedene Windows Server-Versionen dahingehend erweitert, dass dort das Problem als "gefixt" gemeldet wird. Das Speicherleck wird durch Sonderupdates, die nur per Microsoft Update Catalog erhältlich sind, beseitigt. Für Windows Server 2022 heißt es:

Dieses Problem wurde mit dem Out-of-Band (OOB) Update KB5037422 behoben, welches nur per Microsoft Update Catalog erhältlich ist.

Microsoft empfiehl Administratoren dringend, das Sicherheitsupdate vom 12. März 2024 nicht auf die als Domain Controller (DC) fungierenden Windows Server anzuwenden. Stattdessen sollen Administratoren das zum 22. März 2024 per Microsoft Update Catalog veröffentlichte Sonderupdate einspielen. Da es sich um ein kumulatives Update handelt, braucht das Sicherheitsupdate vom 12. März 2024 oder ein früheres Update nicht installiert zu sein. Bis zum Schreiben dieses Blog-Beitrags hat Microsoft folgende Sonderupdates veröffentlicht:

Bis auf Windows Server 2019 steht also ein Fix für das Speicherleck zur Verfügung. Ergänzung: Der Fix für Windows Server 2019 steht seit dem 25.3.2024 im Microsoft Update Catalog bereit.

Um das Sonderupdate vom 22. März 2024 (oder später für Windows Server 2019) zu erhalten, gibt Microsoft an, im Microsoft Update Catalog nach dem betreffenden Paket (Out-of-Band-Update, OOB) zu suchen. Das OOB-Update kann dann manuell installiert oder in Windows Server Update Services (WSUS) sowie Configuration Manager importiert und ausgerollt werden. Hinweise, wie das Sonderupdate in WSUS importiert werden kann, finden sich z.B. im Support-Beitrag WSUS and the Microsoft Update Catalog.

Ergänzung 2: Es wurde in den nachfolgenden Kommentaren angesprochen – bei der Suche im Microsoft Update Catalog erhält man ggf. fremdsprachige Treffer. Der Download der MSU-Datei unterstützt aber alle Sprachen und der jeweilige Supportbeitrag ist auf Englisch verfügbar.

Ähnliche Artikel:
Microsoft Security Update Summary (12. März 2024)
Patchday: Windows 10-Updates (12. März 2024)
Patchday: Windows 11/Server 2022-Updates (12. März 2024)
Windows Server 2012 / R2 und Windows 7 (12. März 2024)

Windows 10/Server 2019: Update KB5035849 scheitert mit Fehler 0xd0000034
Windows Server: März 2024-Update verursacht LSASS Memory-Leak auf DCs
Windows Server (Kerberos) LSASS-Memory-Leak durch März 2024-Updates bestätigt


Anzeige

Dieser Beitrag wurde unter Problemlösung, Update, Windows Server abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

23 Antworten zu Windows Server: Fix für (Kerberos) LSASS-Memory-Leak durch März 2024-Updates

  1. Sebastian D. sagt:

    Danke für den Artikel!

  2. riedenthied sagt:

    Schön, wir haben 2019er. Wahrscheinlich war Wochenende, deshalb kam es nicht mehr.

  3. Gigabernie sagt:

    Schade, die meisten DCs laufen unter 2019. Vielleicht ein Anstoß zum Upgrade…

  4. Anonym sagt:

    > Da es sich um ein kumulatives Update handelt, braucht das Sicherheitsupdate vom 12. März 2024 oder ein früheres Update nicht installiert zu sein. Bis zum Schreiben dieses Blog-Beitrags hat Microsoft folgende Sonderupdates veröffentlicht: …

    Bin puncto Windows gottlob nur Zaungast. Können die – Microsoft – nicht schlicht und einfach Updates bereitstellen, die selber wissen wo sie drauf müssen, von wo und wie sie sich installieren lassen, und welche Voraussetzungen erfüllt sein müssen? Bei Android von Ommas Handy geht 's doch auch. Der Ton, den von Leitner anschlägt (1) mag vulgär sein, er trifft aber.

    (1) blog.fefe.de/?ts=9b0285a2: "Und ihr Deppen kauft denen trotzdem alle ihren Scheiß ab."

    • R.S. sagt:

      Naja, das zielt wohl darauf ab, was man das bisherige Märzupdate nicht zu installieren braucht, weil es auch im neuen Märzupdate enthalten ist.
      Wozu 2 Updates installieren, wenn 1 reicht?
      Das ist nun einmal so bei kummulativen Updates:
      Man braucht keines der vorhergehenden Updates zu installieren, sondern nur das neueste, weil darin alle bisherigen Updates enthalten sind.

      Wer das bisherige Märzupdate schon installiert hat, muß es natürlich nicht deinstallieren, sondern kann einfach das neue Update installieren.

      • Markus.M sagt:

        Dafür ladet man aber eben auch jedes mal das volle Updatepaket herunter, von dem man vielleicht nur ein paar Prozent benötigt. Aber Speicher und Bandbreite kost ja zum Glück nix, die Server laufen mit Luft und Liebe und Ignoranz ist bekanntlich eine Tugend.
        Schön wäre eben, wenn nur geladen wird, was benötigt wird, clever und effizient. Und automatisch.

  5. M.W. sagt:

    das PME zeigt bei uns das Update "2024-03 Cumulative Update for Windows Server 2016 for x64-based Systems (KB5037423)[Out-of-Band]" auch für z.b. Server 2016 an, welche keine Domain Controller Rolle haben, hat es jemand bereits installiert? Was ist hier die Empfehlung?

    • Cerberus sagt:

      Es ist nur für AD relevant, auch wenn es auf Servern mit anderen Rollen installierbar wäre. Wir haben das Update daher auch nicht in WSUS geholt sondern die ADDC per Hand gepatcht, zumindest für die es derzeit ein Patch gibt.

  6. riedenthied sagt:

    So, das 2019er Update ist nun auch da:
    https[:]//catalog.update.microsoft.com/Search.aspx?q=KB5037425

    • Fritz sagt:

      Danke, ich werde es auf ein paar DC testen – obwohl wir von dem Problem nicht wirklich betroffen waren:

    • Skeptisch sagt:

      Warum ist dein Link in Türkisch oder ähnliches?

      • Günter Born sagt:

        Weil das Update imho noch nicht wirklich im Microsoft Catalog eingepflegt ist. Ich habe mal gerade den deutschen Microsoft Update Catalog aufgerufen und nach der KB-Nummer suchen lassen. Mir werden französischsprachige Treffer angezeigt (die Auswahl erfolgt immer durch Microsoft). Der Versuch, die Supportbeiträge abzurufen, scheiterte beim ersten Mal. Beim zweiten Ansatz bekam ich dann sowohl einen Download auf die MSU-Datei angeboten als auch den englischsprachigen Support-Beitrag KB5037425 angezeigt. Das MSU-Datei enthält eh den Support für alle Sprachen. Möglicherweise hat das Microsoft Content Delivery Network (CDN) momentan auch Probleme, die richtige Sprachversion bereitzustellen – beim dritten Versuch bekam ich die erwarteten englischsprachigen Treffer.

  7. SB sagt:

    Windows Server 2016: KB5037423 – (ersetzt KB503585)
    beim ersetzen Update fehlt noch eine 5 am Ende KB5035855 ist richtig

  8. Markus.M sagt:

    Einen unserer DCs hat es heute Nacht erwischt, 10 Tage nach dem Update.
    Scheint also wirklich ein sehr sporadisches Problem zu sein.

  9. Dominik sagt:

    Jemand die Updates installiert ? u.A. auf einem 2019 und funktioniert danach alles bzw. ist der Bug (bestätigt) mit dem Sonderupdate weg ?

  10. Dominik sagt:

    also auf meinem Server 2019 DC hat das neue Update ewig gedauert, aber es funktioniert alles wie es soll. Auf meinem Server 2016 DC ist kein Problem erkennbar, deshalb dort das neue Update auch nicht installiert.

  11. Olaf E. sagt:

    Einer der Windows Server 2016-DCs eines kleineren Kunden hatte Donnerstagabend 11 GB Speicherverbrauch für den entsprechenden Prozess, der andere DC des Kunden lief anscheinend im normalen Rahmen, wo der Prozess etwas über 200 MB belegte. Da ich knapp an Zeit war, hatte ich den Speicherfresser neu gestartet, Benutzeraktivitäten fanden nicht statt, bestenfalls Anmeldungen durch Dienste, geplante Aufgaben und Monitoring, dennoch stand er eben schon wieder bei 8,5 GB.
    Also installiere ich gerade das Update…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.