Windows Server 2012 (R2): Azure-Arc enabled ESU-Maschinen machen Rollback

WindowsEs gibt Probleme bei der Update-Installation unter Windows Server 2012 (R2), sofern diese über Azure-Arc verwaltet werden. Die im Extended Security Update-Program (ESU) befindlichen Maschinen bekommen zwar weiterhin Sicherheitsupdates. Aber die Installation scheitert und es wird im Anschluss ein Rollback durchgeführt.

Mit der Hybrid- und Multicloud-Verwaltungsplattform Azure Arc von Microsoft lassen sich IT-Ressourcen (wie Server, Kubernetes-Cluster und Datenbanken), die sich außerhalb von Azure (z.B. im eigenen lokalen Rechenzentrum, an Edge-Standorten oder bei anderen Cloud-Anbietern) befinden, zentral über die Azure-Konsole zu verwalten.

Probleme bei Windows Server 2012 (R2)

Mir sind nun von zwei Seiten Informationen zugegangen, dass es bei durch Azure Arc verwalteten Windows Server 2012 (R2) Instanzen zu einem Rollback kommt, wenn Sicherheitsupdates im Rahmen des ESU-Programms installiert werden. Einmal wies Roli in diesem Kommentar darauf hin (danke).

Azre Arc-ESU-Server2012

Mir ist das Thema zudem am 25. Juni 2026 über die patchmanagement.org-Mailing-Liste untergekommen (wird hier diskutiert). Microsoft bestätigte in einer Mitteilung, dass seit dem 19. Juni 2026 um 05:00 Uhr UTC bei Azure Arc-fähigen Servern Probleme bei der Anwendung der neuesten Extended Security Updates (ESU) auf unterstützten älteren Windows Server-Versionen auftreten können.

Betroffene Systeme (Windows Server 2012 (R2) behalten die zum 9. Juni 2026 freigegebenen ESU Sicherheits-Updates bei erfolgreicher Installation möglicherweise nicht bei, und führen ein Rollback aus. Das Problem tritt laut Microsoft vor allem in Umgebungen mit eingeschränkter ausgehender Konnektivität zwischen von Azure Arc verwalteten Ressourcen und Azure-Diensten auf.

Microsoft gibt an, dass das Problem durch einen Fehler bei der Zertifikatsvalidierung verursacht wird (siehe auch hier). Eine Änderung in der Zertifikatskette, die zum Signieren der Berechtigungsdateien verwendet wird, mit denen ESU-Updates validiert werden, wird von der Update-Validierungslogik auf unterstützten älteren Windows Server-Versionen nicht akzeptiert. Schlägt diese Validierung nach der Installation fehl, werden die Updates automatisch rückgängig gemacht.

Microsoft arbeitet an einer Korrektur

Das Windows-Entwicklungsteam arbeitet derzeit an einer Korrektur, die in einem zukünftigen Windows Update bereitgestellt wird, um das Problem bei der Zertifikatsvalidierung zu beheben. Die Entwicklungsteams prüfen zudem vorübergehende Abhilfemaßnahmen, um die Auswirkungen zu mindern, bevor dieses Update verfügbar ist. Betroffenen Kunden stellt Microsoft Anleitungen für manuelle Workarounds zur Verfügung, die aber vom Microsoft-Support angefordert werden müssen.

Ähnliche Artikel:
Microsoft Security Update Summary (9. Juni 2026)
Patchday: Windows 10/11 Updates (9. Juni 2026)
Patchday: Windows Server-Updates (9. Juni 2026)
Patchday: Microsoft Office Updates (9. Juni 2026)

Exchange Server: Sicherheitsupdates Juni 2026
Windows 11 24H2-25H2: Juni 2026 Update KB5094126 verursacht Word OLE-Probleme
Nachlese: Juni 2026-Patchday verursacht Windows-Probleme

Dieser Beitrag wurde unter Problem, Sicherheit, Update, Windows Server abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen für den Permalink.

7 Kommentare zu Windows Server 2012 (R2): Azure-Arc enabled ESU-Maschinen machen Rollback

  1. R.S. sagt:

    Unschöne Sache.
    Wobei die Tage von Server 2012/2012R2 gezählt sind, denn im Oktober endet ESU und es gibt keine Updates mehr.
    Es ist also allerhöchste Zeit, zu einer neueren Serverversion zu migrieren.

    • Mark Heitbrink sagt:

      das ist den Betreibern wahrscheinlich bewusst, ich denke nach all den Jahren fällt es nicht in die Kategorie "haben wir noch nicht geschafft".

      es ist vielleicht Mal wieder die berühmte Abhängigkeit zu Drittanbietern?

      aber am Ende denke ich, wenn Microsoft Funktionen und Betrieb ermöglicht, dann ist MS auch verantwortlich. das ganze Update Thema wird immer schlimmer

      • R.S. sagt:

        Es sind auch andere Dinge denkbar, warum man noch eine alte Windowsversion nutzt.
        Beispielsweise Software, die installiert ist.
        Zum Installationszeitpunkt mit Perpetual-Lizenz.
        Die Software lässt sich zwar unter neueren Windowsversionen installieren, aber nicht mehr aktivieren, weil die Lizenzserver für die alte Software abgeschaltet wurden.
        Und die aktuelle Version der Software gibt es nur noch als Abomodell, das richtig teuer ist.
        Und die Neuerungen der aktuellen Version braucht man auch nicht, die aktuelle Version hat also keinen Mehrwert gegenüber der vorhandenen Version.
        Ergo bleibt man aus Kostengründen bei der alten Version und dem alten Windows.

        • FlowRyan sagt:

          Schon mal etwas von einem Inplace Upgrade gehört?

          • Mark Heitbrink sagt:

            ja, das kannst du machen, aber was passiert dann?

            die komplette Verantwortung für jeglichen Ausfall liegt jetzt bei dir, wenn der Hersteller das OS in der Version nicht unterstützt.

            das ist streitbar, aber nicht meine Baustelle.

          • R.S. sagt:

            Wenn es denn funktioniert.
            Wir haben hier eine Software, die an die Maschine gedongelt ist.
            Aus Hardware und OS-Version wird bei der Installation ein Lizenzcode generiert.
            Die Software dann fragt bei jedem Start die Hardware und das Betriebssystem ab.
            Austausch der Hardware = Lizenz wird ungültig
            Inplace-Upgrade = Lizenz wird ungültig
            Und bei ungültiger Lizenz beendet sich die Software gleich wieder.

            Und auch bei anderer Software wird ein Inplace-Upgrade des OS nicht supportet.
            Beispielsweise bei Microsoft Exchange darf man kein Inplace-Upgrade von Windows machen.

            Ein Inplace-Upgrade ist zwar bequem, aber man schleppt dadurch auch Altlasten mit und bei Problemen weiß man nie, ob die nicht mit dem Inplace-Upgrade zusammenhängen.
            Deshalb mache ich nie Inplace-Upgrades.

        • Mark Heitbrink sagt:

          @R.S. das meinte ich mit Drittanbieter ;-)

          ich gebe dir vollkommen Recht, es gibt unglaublich viele gute Gründe, auf dem alten Stand zu bleiben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht. Wegen Missbrauchs bin ich gezwungen, Name und E-Mail als Pflichtfelder beim Kommentieren zu aktivieren. Wählt ggf. einen (noch nicht benutzten) Alias-Namen und verwendet ggf. eine Dummy-Mail-Adresse (z.B. t@hotkev.com).

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.