[English]Noch ein weiterer Nachtrag vom April 2024-Patchday. Die Updates verursachen nicht nur Probleme mit NTLM-Verbindungen zu Windows Server. Es gibt wohl auch Berichte, dass das Update KB5036909 auch zu LSASS-Abstürzen auf Domain Controllern (DCs) führen kann. Jedenfalls hat Microsoft entsprechende Informationen dazu auf seinen Windows Release Health-Seiten veröffentlicht.
Anzeige
Kürzlich hatte ich im Beitrag Windows Server: April 2024-Updates stören NTLM-Authentifizierung über Probleme mit der NTLM-Authentifizierung berichtet. Aber das ist scheinbar noch nicht alles. Ich bin über nachfolgenden Tweet von Neowin.net auf ein weiteres Problem gestoßen.
Microsoft hat zum 3. Mai 2024 auf der Windows Health-Statusseite von Windows Server 2022 den Eintrag NTLM traffic issue after installing the April 2024 security update aktualisiert. Hieß es bisher, dass Administratoren nach der Installation des Sicherheitsupdates vom April 2024 (KB5036909) auf Domänencontrollern (DCs) einen erheblichen Anstieg des NTLM-Authentifizierungsverkehrs feststellen können, kam noch etwas hinzu.
In einem Hinweis schreibt Microsoft, dass in seltenen Fällen es bei Windows-Servern mit der Rolle Domänencontroller (DC) zu Abstürzen des Local Security Authority Subsystem Service (LSASS) kommen kann, die einen Neustart erforderlich machen. Dies lässt aber was klingeln, denn im März 2024 gab es genau dieses Problem in Verbindung mit den Sicherheitsupdates. Ich hatte im Blog-Beitrag Windows Server: März 2024-Update verursacht LSASS Memory-Leak auf DCs darüber berichtet.
Anzeige
Ursache war ein Speicherleck, der auf DCs dazu führte, dass der Server wegen Speichermangel neu starten oder neu gestartet werden musste. Dieses Problem wurde durch Sonderupdates behoben, die manuell durch Administratoren installiert werden mussten. Es deutet einiges darauf hin, dass sich das Problem auch bei den April 2024-Updates fortsetzt. Microsoft hat zur Zeit keine Lösung für das Problem.
Ergänzung: Beachtet den nachfolgenden Kommentar von riedenthied – es scheinen alle Windows Server-Versionen betroffen.
Kein offizieller Workaround
Einzige Möglichkeit, als Betroffener das Problem zu korrigieren, ist die Deinstallation des kumulativen Updates und die Blockade der Installation dieses und aller folgenden Updates. Zur Deinstallation des letzten kumulativen Update (LCU) ist die Befehlszeilenoption
DISM/Remove-Package xxxx
mit dem Namen (xxx) des Updates als Argument zu verwenden. Der Paketname lässt sich mit dem Befehl:
DISM /online /get-packages
ermitteln. Auf verwalteten Systemen ist dann das Update zur weiteren Installation zu sperren.
Ähnliche Artikel:
Microsoft Security Update Summary (9. April 2024)
Patchday: Windows 10-Updates (9. April 2024)
Patchday: Windows 11/Server 2022-Updates (9. April 2024)
Windows Server 2012 / R2 und Windows 7 (9. April 2024)
Windows Server: April 2024-Updates stören NTLM-Authentifizierung
Windows Server: März 2024-Update verursacht LSASS Memory-Leak auf DCs
Windows Server: Fix für (Kerberos) LSASS-Memory-Leak durch März 2024-Updates
Anzeige
Bekommen die in Redmond eigentlich noch irgend ein Update fehlerfrei hin?
lasass und ntlm war doch nix Wichtiges bei einem Server oder Domain Controller. Und Speicherlecks gibt's immer.
Ist halt Software, da kann man nichts machen.
Warum die Aufregung?
Microsoft hat die Kontrolle verloren.
Kann man so sagen. Wie mit dem aktuellen Problem mit Windows 10 und Teamsanmeldung mit Fehler 1001, was sich nun schon seit sicherlich 6 Wochen zieht. Also die haben gar nix mehr unter Kontrolle.
Copilot wird das in der Zukunft schon richten…
oder hat es das eventuell schon angerichtet… (im Sinne von anstellen) ?
MS könnte dieses Problem für sich ganz einfach lösen: ein paar Monate warten und dann sagen, dass es keinen Fix per Update gibt. Wäre doch mal was neues…
ohh, wait….
Security first! Was abstürzt und nicht mehr läuft ist dann auch kein Sicherheitsproblem mehr.
kein wunder bei der patch qualität, das manche firmen mal monate warten bevor sie überhaupt einen patch installieren.
korrekt das sehe ich auch als immer größeres Problem. Dazu kommt das gefühlt immer mehr große so agieren, dadurch kommen entstehende Update Fehler noch später und man erhöht immer weiter die Wartezeit bevor man die wichtigen Systeme mit den Updates versorgt.
Mittlerweile wird der Sasser direkt von Microsoft fabriziert. Was für ein Saftladen.
wirklich nur 2022 betroffen?
Ich bin mir nicht sicher, gefunden habe ich bei einer schnellen Suche nichts zu anderen Updates/Server-Versionen.
Nein, es steht in den Known Issues aller Versionen drin.
Falls nicht bekannt:
https://learn.microsoft.com/en-us/windows/release-health/status-windows-8.1-and-windows-server-2012-r2
https://learn.microsoft.com/en-us/windows/release-health/status-windows-10-1607-and-windows-server-2016
https://learn.microsoft.com/en-us/windows/release-health/status-windows-10-1809-and-windows-server-2019
https://learn.microsoft.com/en-us/windows/release-health/status-windows-server-2022
Danke für die Ergänzung. Ich hatte beim Schreiben des Artikels stichprobenartig die obigen Links natürlich geprüft – entweder ich habe es übersehen oder es stand zu diesem Zeitpunkt nur im Know Issues-Post zu oben genannten Update (was ich annehme).
Gut, um mal von den albernen Rants weg- und zum Thema zurückzukommen: Ist überhaupt irgendjemand betroffen? Bei uns ist kein Problem ersichtlich.
kann das bei meinen betreuten DCs auch nicht bestätigen, Win Server 2019 allesamt kein 2022. Haben alle extrem wenig RAM Belegung.