Windows Out-of-Band-Updates (19.5.2022) fixen AD-Authentifizierungsfehler und Store-Installationsfehler

Windows[English]Microsoft hat zum 19. Mai 2022 eine Reihe außerplanmäßiger Updates (out-of-band Updates) für unterstützte Windows-Versionen (Client und Server) freigegeben, die Probleme, die durch die Sicherheitsupdates vom 10. Mai 2022 verursacht wurden, korrigieren sollen. Dazu gehört auch das Active Directory Authentifizierungsproblem auf Domain Controllern, aber auch ein Fehler (0xC002001B), der die Installation von Apps aus dem Microsoft Store verhindert.


Anzeige

Blog-Leser EP hat mich im englischsprachigen Blog über diesen Kommentar (danke dafür) über drei außerplanmäßige Updates informiert und schrieb:

no KB5014023 on May 19 but Microsoft released a bunch of out-of-band updates on TH May 19 such as KB5015020 for 21H1/21H2 and KB5015018 for 1809 LTSC 2019 along with KB5015019 for 1607 LTSB 2016:

https://support.microsoft.com/help/5015020
https://support.microsoft.com/help/5015018
https://support.microsoft.com/help/5015019

Das ist aber nur eine Teilmenge der freigegebenen Updates. Microsoft hat die vollständige Liste der Updates im Windows 11 Healt-Statusbereich in diesem Eintrag des Know Issues-Abschnitt aufgelistet umfasst nachfolgende kumulativen Updates (danke an die Kollegen von Bleeping Computer).

sowie die nachfolgenden Standalone-Updates:

Sie müssen vor der Installation dieser kumulativen Updates keine vorherigen Updates anwenden. Für die Standalone-Updates gilt allerdings: Wer nur Sicherheitsupdates für diese Versionen von Windows Server verwendet, muss diese Updates nur für den Monat Mai installieren. Wer monatliche Rollup-Updates verwendet, muss sowohl das oben aufgeführte eigenständige Update als auch die monatlichen Rollups vom 10. Mai 2022 installieren.


Anzeige

Diverse Korrekturen

Im Supportartikel zu Update KB5015020 für Windows Server Version 20H2 gibt Microsoft die nachfolgenden Fehlerkorrekturen für das betreffende Paket an:

  • Behebt ein bekanntes Problem, das einige Dienste daran hindern kann, Maschinenkonten auf Clients oder Servern zu authentifizieren. Dieses Problem tritt auf, nachdem Sie das Update vom 10. Mai 2022 auf Domänencontrollern installiert haben.
  • Behebt ein Problem, das Sie möglicherweise daran hindert, Microsoft Store-Anwendungen zu installieren.

Microsoft hat zudem Servicing Stack Updates für diverse Updates veröffentlicht. Die Updates müssen über den Microsoft Update Catalog heruntergeladen und installiert werden. Über die Details und die bekannten Probleme lässt sich in den oben verlinkten Supportbeiträgen informieren. Ein Abriss der der AD-Zertifizierungsproblematik und der Fixes durch die Updates findet sich im Beitrag You might see authentication failures on the server or client for services. Über das AD-Problem hatte ich in Blog-Beiträgen wie Windows Mai 2022-Updates verursachen AD-Authentifizierungsfehler (Server, Client) berichtet (siehe auch folgende Linkliste).

Ergänzung: Es sieht so aus, als ob die Sonderupdates beim Einsatz eines Network Policy Server (NPS) das AD DC-Zertifikateproblem nicht beheben (siehe Windows Out-of-Band-Updates vom 19.5.2022 versagen mit NPS beim AD DC-Authentifizierungsfehler). In diesem Beitrag habe ich als Ergänzung Hinweise angefügt, was zu beachten ist (Zertifikate erneuern).

Was ist mit den Windows-Clients?

Ergänzung: Weil es einen Kommentar zu KB5014987 gab. Die Standalone-Updates – lassen sich auch auf die Windows-Clients (Windows 7, Windows 8.1) anwenden, sofern der KB-Artikel dies angibt. Laut Microsoft sind aber nur Windows-Server betroffen, und dort die AD DCs. Daher wird das Update wohl nur über den Microsoft Update-Katalog verteilt und muss von Betroffenen manuell heruntergeladen und installiert werden.

Allerdings gibt es einen Aspekt, den ich übersehen habe, auf den Blog-Leser Bolko in einem Kommentar weiter unten hinweist. Die Updates korrigieren ja auch ein Installationsproblem von Store-Apps unter Windows 10. Hier ein Auszug aus meinem englischen Blog-Beitrag mit den betreffenden Erklärungen:

There may be an app install error 0xC002001B (see also), caused by April update KB5011831 or May update KB5013942. Or the app could not be opened afterward. This occurs on Microsoft 11th generation Intel CPUs that support Control-flow Enforcement Technology (CET) and above, as well as on certain AMD processors – see the known issues section of update KB5011831. Out-of-band update KB5015020 for Windows 10 Version 1909 fixes that issue for instance.

Betroffene können die obigen KB-Artikel aufrufen und sich dann das für den Client passende Update herunterladen und installieren. Hier nochmals die Liste von Bolko aus nachfolgendem Kommentar:

Windows 7: KB5014987
Windows 8.1: KB5014986
Win10 – 1607 LTSB: KB5015019
Win10 – 1809 LTSB: KB5015018
Win10 – 20H1, 20H2, 21H1, 21H2: KB5015020

Der Download kann aus dem Microsoft Update Catalog erfolgen (nach der KB-Nummer suchen lassen). Für Windows 11 gibt es noch kein Update – zumindest habe ich noch nichts gefunden.

Ähnliche Artikel:
Patchday: Windows 10-Updates (10. Mai 2022)
Patchday: Windows 11/Server 2022-Updates (10. Mai 2022)
Windows 7/Server 2008R2; Windows 8.1/Server 2012R2: Updates (10. Mai 2022)

Microsoft fixt (PetitPotam) NTLM Relay-Schwachstelle (CVE-2022-26925) mit Windows Mai 2022-Update
Windows, Office: Mai 2022 Patchday-Probleme und Besonderheiten
Windows 11: Update KB5013943 erzeugt Fehler 0xc0000135
Windows 11 Update KB5013943 verursacht Probleme mit DATEV (0xc0000135)
Windows Mai 2022-Updates verursachen AD-Authentifizierungsfehler (Server, Client)
CISA warnt vor Installation der Mai 2022-Updates auf Windows Domain Controllern
Active Directory-Admins: Mai 2022-Updates können bei DCs zur Boot-Schleife führen (gesetztes AltSecID-Attribut bei krbtgt)


Anzeige

Dieser Beitrag wurde unter Problemlösung, Update, Windows 10, Windows Server abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

36 Antworten zu Windows Out-of-Band-Updates (19.5.2022) fixen AD-Authentifizierungsfehler und Store-Installationsfehler

  1. Frank Z sagt:

    okay, mein Kollege und ich sind nun vollständig verwirrt .. irgendwie bekommen wir aufgrund von Freitag und Wochenende keinen klaren Gedanken hin, was genau in welcher Reichenfolge gepatched werden soll oder darf ^^

    Wir haben die monthly rollups bis April 2022 auf den DCs (2012R2) installiert, aber nicht das von Mai. Müssen wir nun "nur" SSU+OOB oder monthly+SSU+OOB installieren? please help :-)

    • Torsten sagt:

      Ich würde es wie beim Januar OOB machen bei 2012R2:
      monthly+SSU+OOB und danach erst Reboot.

    • Günter Born sagt:

      Nutzt ihr kumulative Updates und habt das Sicherheitsupdate vom 10. Mai nicht installiert, einfach das Out-of-Band-Update installieren und gut ist.

      Nutzt ihr Security-only Updates (bis Windows Server 2012 R2), muss diese out-of-band-Update für den Monat Mai installiert werden.

      Nutzt ihr monatliche Update-Rollups, muss sowohl das oben aufgeführte eigenständige Update als auch die monatlichen Rollups vom 10. Mai 2022 installieren – dein monthly+SSU+OOB Szenario. Dabei würde ich erst das Update vom 10. Mai und dann das Out-of-Band-Update installieren.

      Betrifft aber nur die Server und vor allem DCs. Falls jemand irgend eine Falle entdeckt, bitte einen Kommentar hinterlassen.

      • Bolko sagt:

        "kumulative Updates" und "monatliche Update-Rollups" sind doch das selbe, weil Rollup = kumulativ.
        Warum machst du also eine zusätzliche überflüssige Fallunterscheidung?

        • Günter Born sagt:

          Weil ich mich auf die Vorgaben von Microsoft beziehe, die zwischen Server-Updates bis 2012 R2 und den Server-Updates ab Server 2016 unterscheiden. Bis Win 8.1/Server 2012 R2 können Monthly-Rollups oder Security-only-Updates verwendet werden. Wenn jemand der Meinung ist, ist alles gleich, kann er ja so verfahren – obiger Hinweis berücksichtigt halt alle Fälle.

          • Stefan A. sagt:

            Hallo Zusammen!
            Ich verstehe das so, dass es z.B. bei Server 2016 ja NUR NOCH Cumulative Updates gibt und man nach den April Patch-Day-Stand gleich das May 19, 2022—KB5015019 (OS Build 14393.5127) Out-of-band installieren kann.

            Man muss z.B. bei 2016 NICHT noch VORHER das May 10, 2022—KB5013952 (OS Build 14393.5125) installieren.

            Verbessert mich bitte, falls ich falsch liege.

            Grüße
            Stefan

      • Bolko sagt:

        Es betrifft nicht nur die Server, denn im Microsoft Update Catalog werden auch Windows 7, Win 8.1 und Win10 Clients ausdrücklich extra erwähnt.

        Wenn man in den Update Catalog "2022-05" eintippt und die Updates mit Datum 19.05.2022 anschaut, dann findet man folgendes:

        Windows 7: KB5014987
        Windows 8.1: KB5014986
        Win10 – 1607 LTSB: KB5015019
        Win10 – 1809 LTSB: KB5015018
        Win10 – 1903 und 20H1 und 20H2 und 21H1 und 21H2: KB5015020

        • Günter Born sagt:

          Ich hatte da was als Anmerkung geschrieben. Die Verteilung per Microsoft Update Catalog wurde imho gewählt, weil wirklich nur betroffene Admins mit AD DCs die Updates auf den Servern installieren sollten.

          Dass die Updates für die Clients ebenfalls angeboten werden, könnte mit der internen Update-Struktur bei MS zusammen hängen – an Hand der Metadaten wird vorgegeben, dass die Updates für diese und jene Builds (Clients und Server) gelten. Letztendlich wird das jeder Betroffene austesten müssen, ob er wirklich die Clients patchen muss – was ich die Nacht gelesen habe, macht diesen Schritt wohl eher nicht erforderlich.

          Aber "grau ist alle Theorie", vielleicht können sich die Betroffenen hier im Blog äußern und ihre Erfahrungen posten – gab ja einige Kommentare zu diesem Bug.

          PS: Die Erwähnung von 1903 bei KB5015020 dürfte ein Fehler Microsofts sein, dieser Zweig ist aus dem Support herausgefallen.

          • Bolko sagt:

            Es sind aber nicht nur die Fixe für AD enthalten, sondern auch für den Store.
            Ersterer betrifft eher Server und letzterer betrifft eher Clients.

            Meiner Meinung nach sollte man es überall installieren, wo es technisch möglich ist.

            Falls es dann immer noch nicht funktioniert muss und wird MS noch einen weiteren Fix nachschieben.

            AD und Store betrifft mich mit Win7 nicht, aber da auch die Kernelversion erhöht worden ist installiere ich es trotzdem.

          • Günter Born sagt:

            @Bolko: Mit deinem Argument triffst Du bezüglich der Windows 10-Clients ins Schwarze – hatte das nicht auf dem Radar – danke für den Einwurf.

            Vom App-Installationsfehler 0xC002001B Betroffene (siehe bei den Kollegen von deskmodder.de) auf den Clients können also die KB-Beiträge konsultieren und ggf. das Update auch auf den Clients installieren.

  2. Bolko sagt:

    KB5014987 gilt auch für Windows 7, nicht nur für ​Windows Server 2008 R2 SP1.

  3. jup sagt:

    ist da nun auch das mit den roaming profilen gelöst ?

  4. Andreas sagt:

    Bei uns hilft es nicht.
    Das Mai Update ist drauf und nun auch noch der KB5015018 für ​Windows Server 2019.
    Aber weiterhin kommen die RADIUS Clients nicht am NPS vorbei und damit ins WLAN.

    Extrem ärgerlich, hier stehen 700 iPads vor dem NPS und wollen rein gelassen werden…
    Das neueste SSU Update ist auch installiert.

    Ich werde das Update vom 11.5. nun wohl erstmal deinstallieren. So kann ich das nicht lassen…

  5. DT sagt:

    Zum Verständnis: ZUERST das Mai-Update installieren und DANACH den Out-of-Band-Update, richtig?

    Ich habe jetzt, aufgrund eines Missverständnisses, einfach nur das Out-of-Band-Update installiert, aber das Mai-Update wird weiterhin angeboten.

    Aber aufgrund des Posts von @Andreas bin ich mir nicht mehr sicher, ob ich das bzw. die Updates überhaupt installieren sollte.

  6. Robert sagt:

    Das mit AltSecID-Attribut bei krbtgt wurde wohl nicht gelöst – oder?

  7. Feuerpanda sagt:

    Klasse das es da immerhin ein schnellen Fix gab.

    Aber mal eine Frage zur Verständnis hätte uns das Problem auch betroffen mit einem simplen Radius Server der nur paar Cisco Router über einen manuellen Schlüssel aufgenommen hat und sich alle Benutzer übers VPN nur über Benutzername & Passwort authentifizieren?

    Ich bin nicht ganz schlau drauß geworden welche Konfigurationen das betrifft.

    • MOM20xx sagt:

      bei uns wird der client, also das laptop oder die workstation authentifiziert per zertifikat über den Microsoft NPS, weil mit username und passwort könnt ja jeder ein device irgendwo reinhängen. so mit eigener pki und zertifikaten wirds schon um einiges schwieriger. nach den mai updates werden die zertifikate bzw. deren computer nicht mehr in der kerberosdb gefunden. der domain controller schickt einen fehler zurück. erst wenn wir in die zertifikate den upn reinnehmen klappt es. sowohl mit als ohne out of band patch. sprich da wurde einiges mehr verändert oder funktioniert einfach nicht richtig. nimmt man die mai patches raus klappt wieder alles.
      selbst mit neu erstellten zertifikaten wo diese sid extension drinnen ist, die für strong binding sorgt, klappt es nicht.
      es is halt auch ein mordsgefrickel, das microsoft da betreibt. weil eigentlich würd es auch reichen für die lücken, die da geschlossen werden sollen, dafür zu sorgen, dass nicht jeder irgendwelche ad attribute setzen kann bzw. das die halt eindeutig im ad sein müssen.
      aber schon klar, wenn man wieder was neues einbaut, wird auch dann irgendwann der letzte genötigt sein, seine altlasten zu entsorgen, weil mit os mit end of life ohne patches, wirds immer schwieriger in einer sauberen gepatchten, sicheren umgebung mitzuspielen.

  8. Stefan A. sagt:

    Gibt es hier jemanden, bei dem das Out-of-Band-Update das Problem mit NPS und Computerzertifikaten überhaupt lösen konnte?

    Gruß
    Stefan

  9. Markus K. sagt:

    MS hat seit 03-2022 einiges hin gemacht. Wir haben Efekte das glaubt einem keiner bis man es selber sieht.
    Ich wünsche mir nur, dass man wenns schief geht auch wieder ganz klar dorthin zurück kann wos gut ging.
    Dass man dann oft Monate lang eventuell gar nicht patchen kann, interessiert anscheinend eh niemand.
    500€ die Stunde Support für: "Installierne sie den Office Patch" auf einem Server wos kein Office gibt, kann man bei MS gerne selbst probieren, wir nicht mehr!

  10. JohnRipper sagt:

    KB5015018 gibt es nicht im WSUS, korrekt?

  11. --Marc-- sagt:

    Hallo zusammen,

    das Update KB5015018 funktioniert anscheinend in unserer Umgebung. Wir haben gestern die ersten DCs gepatched. Des Weiteren ist uns aufgefallen, dass erst nach Installation von KB5015018 Events mit der ID 39 – "Kerberos-Key-Distribution-Center" für die 802.1X Authentifizierung der Computer auftauchen. Zuvor waren es nur Events die der Smartcard-Anmeldungen zuzuordnen waren. Der Reg Fix CertificateMappingMethods ist auf KB5015018 -gepatchten Systemen nicht (mehr) aktiv, hat aber für uns auch als Workaround funktioniert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.