Quelle: learn.microsoft.com (Englisch)
Die Windows Server-Updates vom März 2024 führen bei einigen Domänencontrollern zu Abstürzen und Neustarts, so die weit verbreiteten Berichte von Windows-Administratoren.
Die betroffenen Server frieren ein und starten neu, weil der LSASS-Prozess (Local Security Authority Subsystem Service) ein Speicherleck aufweist, das mit den kumulativen Updates vom März 2024 für Windows Server 2016 und Windows Server 2022 eingeführt wurde.
LSASS ist ein Windows-Dienst, der Sicherheitsrichtlinien durchsetzt und Benutzeranmeldungen, die Erstellung von Zugriffstoken und Passwortänderungen verwaltet.
Wie viele Administratoren gewarnt haben, stürzten nach der Installation der an diesem Patch Tuesday veröffentlichten Windows Server-Updates KB5035855 und KB5035857 Domänencontroller mit den neuesten Updates ab und starteten neu, da der LSASS-Speicherverbrauch anstieg.
"Seit der Installation der März-Updates (Exchange sowie reguläre Windows Server-Updates) zeigen die meisten unserer DCs eine ständig steigende lsass-Speicherauslastung (bis sie abstürzen)", so ein Administrator.
"Wir hatten Probleme mit lsass.exe auf Domänencontrollern (2016 Core, 2022 mit DE und 2022 Core Domänencontroller), die ebenfalls Speicherverluste verursachten. Das ging so weit, dass alle Domänencontroller über das Wochenende abstürzten und einen Ausfall verursachten", fügte ein anderer hinzu.
"Unsere Symptome waren eine aufgeblähte Speichernutzung des lsass.exe-Prozesses nach der Installation von KB5035855 (Server 2016) und KB5035857 (Server 2022) bis zu dem Punkt, an dem der gesamte physische und virtuelle Speicher verbraucht war und die Maschine hing", so ein Administrator.
"Der Support-Mitarbeiter sagt, dass er bald eine offizielle Mitteilung von Microsoft erwartet.
Vorübergehender Workaround verfügbar
Bis Microsoft das Speicherleck offiziell bestätigt, wird Administratoren empfohlen, die fehlerhaften Windows Server-Updates von ihren Domänencontrollern zu deinstallieren.
"Der Microsoft-Support hat uns empfohlen, das Update vorerst zu deinstallieren", so der Administrator.
Um die lästigen Updates zu entfernen, öffnen Sie eine erweiterte Eingabeaufforderung, indem Sie auf das Startmenü klicken, "cmd" eingeben, mit der rechten Maustaste auf die Eingabeaufforderung klicken und dann "Als Administrator ausführen" wählen.
Führen Sie anschließend einen der folgenden Befehle aus, je nachdem, welches Update Sie auf Ihrem Windows-Domänencontroller installiert haben:
wusa /deinstallieren /kb:5035855
wusa /deinstallieren /kb:5035857
Nach der Deinstallation sollten Sie auch die Problembehandlung "Updates anzeigen oder ausblenden" verwenden, um das fehlerhafte Update auszublenden, damit es nicht mehr in der Liste der verfügbaren Updates angezeigt wird.
Aktualisierung: Microsoft bestätigt Problem
Nach der Installation des Sicherheitsupdates vom März 2024, das am 12. März 2024 veröffentlicht wurde (KB5035857), kann bei Local Security Authority Subsystem Service (LSASS) auf Domänencontrollern (DCs) ein Speicherleck auftreten. Dies wird beobachtet, wenn lokale und Cloud-basierte Active Directory-Domänencontroller Kerberos-Authentifizierungsanforderungen bedienen.
Extreme Speicherlecks können LSASS zum Absturz bringen, was einen ungeplanten Neustart der zugrunde liegenden Domänencontroller (DCs) auslöst.
Hinweis: Dieses Problem tritt nicht auf Home-Geräten auf. Es betrifft nur Umgebungen in Organisationen, die einige Windows Server-Plattformen verwenden.
Nächste Schritte: Die Grundursache wurde identifiziert und wir arbeiten an einer Lösung, die in den nächsten Tagen veröffentlicht wird. Dieser Text wird aktualisiert, sobald die Lösung verfügbar ist.