[English]Microsoft hat zum 22. März 2024 ein Sonderupdate mit einem Fix für Windows Server veröffentlicht, mit dem ein LSASS-Memory-Leak, versursacht durch die März 2024-Updates, beseitigt wird. Ich hatte hier im Blog über den Fall berichtet, dass auf manchen Systemen Kerberos-Anfragen auf Domänencontrollern den Arbeitsspeicher voll laufen lassen. Die Server bekommen dann Performance-Probleme oder fallen sogar aus und mussten sporadisch neu gestartet werden. Dieses Problem soll durch die Sonderupdates sowohl bei lokalen als auch bei Cloud-basierten Active Directory-DLCs behoben werden. Für Windows Server 2019 gibt es noch keinen Fix. Ergänzung: Der Fix sollte seit dem 25.3.2024 verfügbar sein.
Anzeige
Hinweis und Bestätigung des Problems
Ich hatte das Problem die Tage im Blog-Beitrag Windows Server: März 2024-Update verursacht LSASS Memory-Leak auf DCs aufgegriffen, weil es entsprechende Benutzerberichte im Blog gab. Seit die März 2024-Sicherheitsupdate vom 12.3.2024 auf Windows Server-Systemen installiert sind, kommt es bei verschiedenen Nutzern zu Problemen. Ein Speicherleck in LSASS führt bei allen Windows Server-Varianten nach einiger Zeit zu Performance-Problemen auf Domain Controllern (DC). Komischer Weise wurde dieser Effekt nicht bei allen Systemen beobachtet, wie man in den Nutzerkommentaren zu obigem Blog-Beitrag nachlesen kann.
Microsoft hatte dann diesen Bug zum 20. März 2024 im Know Issues-Abschnitt für Windows Server bestätigt (siehe meinen Blog-Beitrag Windows Server (Kerberos) LSASS-Memory-Leak durch März 2024-Updates bestätigt). Microsoft gab seinerzeit an, dass nach der Installation der Sicherheitsupdates vom 12. März 2024 beim Local Security Authority Subsystem Service (LSASS) auf Domänencontrollern (DCs) ein Speicherleck auftreten kann. Verursacht wird dies, wenn lokale und Cloud-basierte Active Directory-Domänencontroller Kerberos-Authentifizierungsanforderungen bedienen.
Das Speicherleck kann so extrem werden, das es LSASS zum Absturz bringt, was einen ungeplanten Neustart der zugrunde liegenden Domänencontroller (DCs) auslöst. Laut Microsoft betrifft es nur Umgebungen in Unternehmen, die Windows Server-Plattformen mit folgenden Windows-Varianten verwenden.
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
Microsoft gab im Supportbeitrag an, dass die Ursache inzwischen ermittelt wurde und die Entwickler an einer Lösung arbeiten, "die in den nächsten Tagen veröffentlicht werden sollte".
Anzeige
Microsoft stellt einen Fix bereit
Zum 22. März 2024 hat Microsoft den Supportbeitrag Issue with Kerberos requests on domain controllers may cause LSASS memory leaks im Know Issues-Abschnitt für verschiedene Windows Server-Versionen dahingehend erweitert, dass dort das Problem als "gefixt" gemeldet wird. Das Speicherleck wird durch Sonderupdates, die nur per Microsoft Update Catalog erhältlich sind, beseitigt. Für Windows Server 2022 heißt es:
Dieses Problem wurde mit dem Out-of-Band (OOB) Update KB5037422 behoben, welches nur per Microsoft Update Catalog erhältlich ist.
Microsoft empfiehl Administratoren dringend, das Sicherheitsupdate vom 12. März 2024 nicht auf die als Domain Controller (DC) fungierenden Windows Server anzuwenden. Stattdessen sollen Administratoren das zum 22. März 2024 per Microsoft Update Catalog veröffentlichte Sonderupdate einspielen. Da es sich um ein kumulatives Update handelt, braucht das Sicherheitsupdate vom 12. März 2024 oder ein früheres Update nicht installiert zu sein. Bis zum Schreiben dieses Blog-Beitrags hat Microsoft folgende Sonderupdates veröffentlicht:
- Windows Server 2022: KB5037422 (ersetzt KB5035857)
- Windows Server 2019: – KB5037425 – (ersetzt KB5035849)
- Windows Server 2016: KB5037423 – (ersetzt KB5035855)
- Windows Server 2012 R2: KB5037426 (ersetzt KB5035885)
Bis auf Windows Server 2019 steht also ein Fix für das Speicherleck zur Verfügung. Ergänzung: Der Fix für Windows Server 2019 steht seit dem 25.3.2024 im Microsoft Update Catalog bereit.
Um das Sonderupdate vom 22. März 2024 (oder später für Windows Server 2019) zu erhalten, gibt Microsoft an, im Microsoft Update Catalog nach dem betreffenden Paket (Out-of-Band-Update, OOB) zu suchen. Das OOB-Update kann dann manuell installiert oder in Windows Server Update Services (WSUS) sowie Configuration Manager importiert und ausgerollt werden. Hinweise, wie das Sonderupdate in WSUS importiert werden kann, finden sich z.B. im Support-Beitrag WSUS and the Microsoft Update Catalog.
Ergänzung 2: Es wurde in den nachfolgenden Kommentaren angesprochen – bei der Suche im Microsoft Update Catalog erhält man ggf. fremdsprachige Treffer. Der Download der MSU-Datei unterstützt aber alle Sprachen und der jeweilige Supportbeitrag ist auf Englisch verfügbar.
Ähnliche Artikel:
Microsoft Security Update Summary (12. März 2024)
Patchday: Windows 10-Updates (12. März 2024)
Patchday: Windows 11/Server 2022-Updates (12. März 2024)
Windows Server 2012 / R2 und Windows 7 (12. März 2024)
Windows 10/Server 2019: Update KB5035849 scheitert mit Fehler 0xd0000034
Windows Server: März 2024-Update verursacht LSASS Memory-Leak auf DCs
Windows Server (Kerberos) LSASS-Memory-Leak durch März 2024-Updates bestätigt
Anzeige
Danke für den Artikel!
Schön, wir haben 2019er. Wahrscheinlich war Wochenende, deshalb kam es nicht mehr.
Schade, die meisten DCs laufen unter 2019. Vielleicht ein Anstoß zum Upgrade…
Vielleicht testet M$ deswegen auch erst mal bei den anderen Versionen. Wenn´s da keine Probleme gibt kommt das Update für die 2019.
> Da es sich um ein kumulatives Update handelt, braucht das Sicherheitsupdate vom 12. März 2024 oder ein früheres Update nicht installiert zu sein. Bis zum Schreiben dieses Blog-Beitrags hat Microsoft folgende Sonderupdates veröffentlicht: …
Bin puncto Windows gottlob nur Zaungast. Können die – Microsoft – nicht schlicht und einfach Updates bereitstellen, die selber wissen wo sie drauf müssen, von wo und wie sie sich installieren lassen, und welche Voraussetzungen erfüllt sein müssen? Bei Android von Ommas Handy geht 's doch auch. Der Ton, den von Leitner anschlägt (1) mag vulgär sein, er trifft aber.
(1) blog.fefe.de/?ts=9b0285a2: "Und ihr Deppen kauft denen trotzdem alle ihren Scheiß ab."
Naja, das zielt wohl darauf ab, was man das bisherige Märzupdate nicht zu installieren braucht, weil es auch im neuen Märzupdate enthalten ist.
Wozu 2 Updates installieren, wenn 1 reicht?
Das ist nun einmal so bei kummulativen Updates:
Man braucht keines der vorhergehenden Updates zu installieren, sondern nur das neueste, weil darin alle bisherigen Updates enthalten sind.
Wer das bisherige Märzupdate schon installiert hat, muß es natürlich nicht deinstallieren, sondern kann einfach das neue Update installieren.
Dafür ladet man aber eben auch jedes mal das volle Updatepaket herunter, von dem man vielleicht nur ein paar Prozent benötigt. Aber Speicher und Bandbreite kost ja zum Glück nix, die Server laufen mit Luft und Liebe und Ignoranz ist bekanntlich eine Tugend.
Schön wäre eben, wenn nur geladen wird, was benötigt wird, clever und effizient. Und automatisch.
das PME zeigt bei uns das Update "2024-03 Cumulative Update for Windows Server 2016 for x64-based Systems (KB5037423)[Out-of-Band]" auch für z.b. Server 2016 an, welche keine Domain Controller Rolle haben, hat es jemand bereits installiert? Was ist hier die Empfehlung?
Es ist nur für AD relevant, auch wenn es auf Servern mit anderen Rollen installierbar wäre. Wir haben das Update daher auch nicht in WSUS geholt sondern die ADDC per Hand gepatcht, zumindest für die es derzeit ein Patch gibt.
So, das 2019er Update ist nun auch da:
https[:]//catalog.update.microsoft.com/Search.aspx?q=KB5037425
Danke, ich werde es auf ein paar DC testen – obwohl wir von dem Problem nicht wirklich betroffen waren:
Warum ist dein Link in Türkisch oder ähnliches?
Weil das Update imho noch nicht wirklich im Microsoft Catalog eingepflegt ist. Ich habe mal gerade den deutschen Microsoft Update Catalog aufgerufen und nach der KB-Nummer suchen lassen. Mir werden französischsprachige Treffer angezeigt (die Auswahl erfolgt immer durch Microsoft). Der Versuch, die Supportbeiträge abzurufen, scheiterte beim ersten Mal. Beim zweiten Ansatz bekam ich dann sowohl einen Download auf die MSU-Datei angeboten als auch den englischsprachigen Support-Beitrag KB5037425 angezeigt. Das MSU-Datei enthält eh den Support für alle Sprachen. Möglicherweise hat das Microsoft Content Delivery Network (CDN) momentan auch Probleme, die richtige Sprachversion bereitzustellen – beim dritten Versuch bekam ich die erwarteten englischsprachigen Treffer.
Lt. Deskmoder (https://www.deskmodder.de/blog/2024/03/26/windows-server-2022-bis-runter-zu-server-2012-r2-mit-einem-wichtigen-out-of-band-update/) steht das Windows 2019 Update bereit!
Hier dem MS Catalog Link : https://www.catalog.update.microsoft.com/Search.aspx?q=KB5037425
Windows Server 2016: KB5037423 – (ersetzt KB503585)
beim ersetzen Update fehlt noch eine 5 am Ende KB5035855 ist richtig
Einen unserer DCs hat es heute Nacht erwischt, 10 Tage nach dem Update.
Scheint also wirklich ein sehr sporadisches Problem zu sein.
Jemand die Updates installiert ? u.A. auf einem 2019 und funktioniert danach alles bzw. ist der Bug (bestätigt) mit dem Sonderupdate weg ?
Ja, Update ist seit ca. 24h auf einem 2019 installiert.
Bis jetzt keine Probleme.
Speicherbedarf von LSASS schwankte etwas aber alles im Rahmen. Ist vorher ca. 100MB/Tag gewachsen.
konntest du es während dem laufenden Betriebs installieren ? Danach muss man bestimmt rebooten, das wäre nicht das Problem. Nur ggf. fallen ja die Dienste während des laufendem Betriebs aus ?
also bei mir dauert die Installation ewig…
Genauere Hintergründe zum Thema vom Microsofts "Ask the Directory Services Team" https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/this-just-in-high-lsass-usage-after-windows-update-3b-march-2024/ba-p/4096250
also auf meinem Server 2019 DC hat das neue Update ewig gedauert, aber es funktioniert alles wie es soll. Auf meinem Server 2016 DC ist kein Problem erkennbar, deshalb dort das neue Update auch nicht installiert.
Einer der Windows Server 2016-DCs eines kleineren Kunden hatte Donnerstagabend 11 GB Speicherverbrauch für den entsprechenden Prozess, der andere DC des Kunden lief anscheinend im normalen Rahmen, wo der Prozess etwas über 200 MB belegte. Da ich knapp an Zeit war, hatte ich den Speicherfresser neu gestartet, Benutzeraktivitäten fanden nicht statt, bestenfalls Anmeldungen durch Dienste, geplante Aufgaben und Monitoring, dennoch stand er eben schon wieder bei 8,5 GB.
Also installiere ich gerade das Update…