[English]Zum 11. April 2023 hat Microsoft am monatlichen Patchday Sicherheitsupdates für verschiedene Microsoft-Produkte durchgeführt. Vereinzelt gab es Rückmeldungen von Lesern, die auf kleinere Probleme hinweisen. Ich fasse mal verschieden Meldungen in den Kommentaren der Leser zu einem Sammelbeitrag in Form einer Patchday-Nachlese für April 2023 zusammen.
Anzeige
Update KB5025229 für Win 10 2019 LTSC fehlt
Blog-Leser Martin beklagt sich in diesem Kommentar, dass ihm das Update KB5025229 unter Windows 10 1909 LTSC auf seinen Maschinen nicht über Windows Update angeboten werde. Martin schreibt:
Hallo zusammen,
unter Windows 10 Home habe ich die Updates erhalten – nicht jedoch unter Windows 10 LTSC 1809 (Build 17763.4131) 64-Bit. Dabei hätte ich dort laut den Infos auf der Microsoft Homepage das KB5025229 über Windows Update automatisch erhalten müssen.
Es gab zwar einzelne Updates, jedoch nicht das KB5025229. Stattdessen kamen hier bislang nur folgende Updates an:
– Security Intelligence-Update für Microsoft Defender Antivirus – KB2267602 (Version 1.387.740.0)
– Update für Microsoft Defender Antivirus-Antischadsoftwareplattform – KB4052623 (Version 4.18.2303.8)
– Windows-Tool zum Entfernen bösartiger Software x64 – v 5.112 (KB890830)Ich habe das "Phänomen" auf insgesamt drei LTSC-Systemen mit gleichem Versionsstand, daher gehe ich zunächst mal nicht davon aus, dass irgendwas mit meinem "Windows Update Catalogue" kaputt ist; d.h. ich habe bislang weder versucht, den Windows Update Dienst zu stoppen und C:\Windows\SoftwareDistribution umzubenennen noch habe ich versucht, das Update manuell herunterzuladen und zu installieren.
Martin fragte, ob das jemand bestätigen kann. Blog-Leser Rainer bestätigt das in diesem Kommentar, und Markus S. in diesem Kommentar. Martin hat dann die Updates aus dem Microsoft Update Catalog heruntergeladen und manuell installiert.
Systeme hängen beim Booten (ESXi)
In diesem Kommentar beklagt sich Parker, dass mehrere virtuelle DCs beim Starten gehangen hätten. Es handelt sich ausschließlich um Windows Server 2019 Installationen, wobei auch ein Terminalserver betroffen war. Es scheint sich aber um einen Einzelfall zu handeln.
Und in diesem Kommentar wird das Secure Boot Problem bei Windows Server 2022 VMs unter VMware ESXi 7 als "nicht behoben" beklagt. Hier bin ich aber nicht sicher, ob da der ESXi 7-Patch auf 70u3k fehlt.
Anzeige
Problem mit Aufgabenplanung
In diesem Kommentar erwähnt crams Probleme mit der Aufgabenplanung unter Windows Server 2016 – was aber auch ein Einzelfall zu sein scheint.
Auffälligkeit ohne aktuelle, tiefere Analyse bis jetzt auf allen Windows Servern 2016:
Die Aufgabenplanung führt keine selbst angelegte Aufgabe mehr aus. Verteilt wird die Aufgabe über GPO. Die angezeigte Zeit der nächsten Ausführung stimmt (alle 5 Minuten) aber die Aufgabe wird nicht ausgeführt. Im Verlauf erscheint auch kein Eintrag.
Installiert wurden in der Nacht:
2023-04 Cumulative Update for Windows Server 2016 for x64-based Systems (KB5025228)
Windows-Tool zum Entfernen bösartiger Software x64 – v5.112 (KB890830)
Eine Analyse ergab, dass eine per GPO verteilte Aufgabe nicht mehr automatisch zur angegebenen Zeit startet. Die Lösung ist einfach: Den Aufgaben, die per GPO verteilt werden, ein neues Startdatum geben und diese dann über die Option Aktualisieren neu verteilen.
Terminal Server 2016 Dateien nicht zu öffnen
In diesem Kommentar weist Michael Flühmann darauf hin, dass das Cumulative Update KB5025228 für Windows Server 2016 bei Terminal Servern zu Problemen mit dem Öffnen von Dateien führt.
Wir stellen erneut dasselbe Problem fest wie bereits nach dem März Update. Bei unseren Kunden welche ein Terminalserver 2016 einsetzen, können seit dem Update KB5025228 keine Dateien im Ordner Downloads (und teilweise andere Ordner) geöffnet werden. Nach Doppelklick auf eine Datei passiert nichts. Deinstallation von KB5025228 und alle Dateien können wieder wie gewohnt geöffnet werden.
Ich hatte im März 2023 im Blog-Beitrag Windows 10/Server: März 2023 Patchday-Nachlese bereits auf dieses Thema, welches einige Nutzer traf, hingewiesen. Das MotW-Flag (Mark of the Web) muss in den Dateieigenschaften aufgehoben werden, um die Dateien per Doppelklick öffnen zu können. Weitere Hinweise finden sich im Artikel vom März 2023.
RDP-Probleme beim Kopieren
Ergänzung: Bei Microsoft gibt es bereits den Nutzerbeitrag How to fix a html5 webview RDS clipboard bug on Windows 2022 server? vom 11. April 2023, wo ein Nutzer Probleme mit Copy/Paste bei der Zwischenablage reklamiert. Blog-Leser Markus K. hat mich zum 17.4.2023 per Mail über folgende Auffälligkeit informiert:
Morgen,
weil es mir gerade aufgefallen ist und mir spontan nur einfällt es einfach mal einzukippen (habe noch nicht weiter recherchiert).
Verbindung via RDP (egal ob MS RDP Client oder z.B. mremoteng) zu einem Server mit dem aktuellen April-Patch und ein kopieren von Dateien vom Remote Rechner auf den Server geht ins Leere.
RDP clipboard monitor abschießen und neu starten bringt nichts.
Auf den noch nicht gepatchten Servern klappt das noch.
Ein Problem der Kategorie "lästig".
Ergänzung: In einer Nachtrags-Mail hat Markus das Phänomen noch konkretisiert:
das Problem hat sich konkretisiert:
kopieren lokal zu Server via RDP => OK
kopieren von Netzlaufwerk zu lokal => OK
kopieren vom Netzlaufwerk zu Share am Server => OK
kopieren vom Netzlaufwerk zum Server via RDP => FAILBin bis jetzt nicht darauf gekommen, wann sich das geändert hat und welcher Patch dafür verantwortlich ist. Jedenfalls hat es definitiv in der Vergangenheit funktioniert.
Hat noch jemand dies beobachtet?
Ähnliche Artikel:
Microsoft Security Update Summary (11. April 2023)
Patchday: Windows 10-Updates (11. April 2023)
Patchday: Windows 11/Server 2022-Updates (11. April 2023)
Windows 7/Server 2008 R2; Server 2012 R2: Updates (11. April 2023)
Patchday: Microsoft Office Updates (11. April 2023)
Anzeige
Wichtiger Hinweis für diejenigen, die das Legacy-LAPS im Einsatz haben.
Man zerschießt sich beide (!) LAPS-Varianten, wenn man nach der Installation der April-Updates die Legacy-Version von LAPS installiert (was in unserer Umgebung der Fall ist, da in unserer automatisierten OS-Installation die aktuellen MS-Updates zuerst aufgespielt werden – getestet haben wir es noch nicht).
Aufgeschnappt habe ich das im aktuellen Reddit-Patchday-Thread, Microsoft listet das Problem aber auch schon: https://learn.microsoft.com/en-us/windows-server/identity/laps/laps-overview (blaues Info-Textfeld)
wollte noch was zu schreiben, mir fehlte die Nacht die Zeit. Heute bin ich privat verplant. Mal sehen, was am späten Abend ist.
Ergänzung: Ist inzwischen im Artikel LAPS-Integration per April 2023-Update in Windows – Ärger für Administratoren veröffentlicht. Danke für die Kommentare hier im Blog und an Mark Heitbrink für seine Mail mit dem Hinweis auf den Artikel in gruppenrichtlinien.de.
Hier ist auch noch was: https://www.bleepingcomputer.com/news/microsoft/microsoft-windows-laps-is-incompatible-with-legacy-policies/
Siehe auch mein Kommentar von gestern Abend!
https://www.borncity.com/blog/2023/04/13/microsoft-integriert-die-ai-exe-in-office-365-produkte-was-rger-machen-kann/#comments
Hier gibts inzwischen auch einen Artikel: https://www.gruppenrichtlinien.de/artikel/migration-laps-legacy-zu-laps-nativ
Aber auch der beantwortet noch nicht alle Fragen, zum Beispiel, wie das mit dem "Legay Mode" ist. Ist der sofort aktiv? Was ist mit neu installierten Systemen mit April-Updates, ist er dort auch sofort aktiv, wenn LAPS schon länger auf die alte Methode eingerichtet wurde?
Mittwoch wurde auf zwei baugleichen, erst vor ein paar Wochen installierten HP-Notebooks mit Windows 11 22H2 das kumulative Update KB5025239 installiert, heute riefen beide Nutzer an, weil sie zur Eingabe des Bitlocker-Wiederherstellungsschlüssels aufgefordert wurden.
Gestern fuhren die Systeme noch normal hoch.
Ob ein Zusammenhang mit den Updates besteht, ist noch unklar.
das ist aber leider ein ständig wiederkehrendes Problem bei HP gab's in der Vergangenheit leider immer wieder…keine Ahnung warum das bei manchen Herstellern besser klappt.
Hallo! Hatte interessanterweise am Freitag auch bei zwei Laptops (ein Dell, ein Surface) das gleiche Problem dass nach dem Bitlockerkey gefragt wurde! Konnte auch noch keine wirklich Ursache finden, außer dass zumindest einer der Laptops nicht richtig heruntergefahren wurde.
Hallo Günter,
vielen Dank, dass du das Thema noch mal in einem eigenen Beitrag aufgegriffen hast.
Auch heute, drei Tage nach dem Patchday, wird das Update unter Windows 10 LTSC 2019 leider immer noch nicht über Windows Update angeboten. Immerhin lässt es sich aber problemlos von Hand installieren, hab das inzwischen auf mehreren Systemen durchgeführt. Im Updateverlauf taucht es allerdings nur als "Sicherheitsupdate für Windows (KB5025229)" auf und nicht als "2023-04 Kumulatives Sicherheitsupdate".
Jetzt hoffe ich nur, dass beim nächsten Patchday im Mai wieder alles wie gewohnt automatisch über Windows Update verteilt wird (auch ohne WSUS).
Viele Grüße,
Martin
Das könne wir bestätigen, es werden keine Updates für Windows 10 LTSC 2019 angeboten. Ich würde mir allerdings wünschen, dass es noch eine Lösung für die April Updates gibt.
Dem Wunsch möchte ich mich uneingeschlossen anschließen! :-) Betreue nämlich noch ein paar weitere LTSC Systeme, die leider nicht über einen WSUS versorgt werden…
Microsoft hat es geschafft die April Updates für Windows 10 LTSC 2019 über die Windows Updates freizugeben. Bisher keine Probleme.
Hi Günter,
danke für die Zusammenfassung. Bezüglich "Terminal Server 2016 Dateien nicht zu öffnen" lässt sich noch ergänzen, das es so ähnlich seit dem März-Patchday unter Windows 10 Enterprise LTSB auftritt, hier jedoch sind hauptsächlich Dateien / (zip) Ordner aus Outlook betroffen und wir konnten es nur mit der Deaktivierung von SmartScreen "lösen" bzw workarounden ..
Grüße
bei uns stürzt Outlook mit dem neuen build
16.0.16130.20394 ab wenn Anhänge versendet werden.
Aufgefallen bei PDF Dateien.
Semi-Annual Enterprise Channel (Preview)
2302
16130.20394
April 11, 2023
die andere Clients im Netzwerk
Semi-Annual Enterprise Channel
2208
15601.20626
April 11, 2023
noch nicht getestet bzw. Quell Dateien intern noch nicht aktualisiert.
(scheint lt unten genannten URL aber auch betroffen zu sein).
bei uns ist das eine Firmenumgebung 1600 Clients mit Exchange on premise
scheinen auch andere betroffen zu sein:
https://www.reddit.com/r/sysadmin/comments/12jr66a/outlook_crashes_when_attaching_files_after_update/
Ich habe bei einem PC das Problem bekommen, dass ein Kopieren von Dateien aus einem Windows-Server-Share nicht mehr will. Surfen, Dateisystem durchbrowsen, Dateien auf den Server schieben funktioniert. Beim Runterkopieren hingegen bleibt der Kopierdialog bis in alle Ewigkeit bei 0% stehen. Seit Deinstallation des Updates ist alles wieder OK.
@GBorn, wird das Update KB5025239 für Windows 11 unter WSUS auch für Windows 10 als erforderlich angezeigt? Das hätte ja das Potenzial ganze Umgebungen lahm zu legen mittels Windows 11 Upgrade..
Hier auch schon aufgetaucht
What the hell is KB5025239 ("Windows 11, version 22H2 x64 2023-04b") and why is it a required update on my Windows 10 machines?
Oder Einzelfall?
Kein Einzelfall. Hatte ich hier auch schon thematisiert:
https://www.borncity.com/blog/2023/03/27/erinnerung-uup-updates-fr-windows-kommen-am-28-mrz-2023/#comments
VORSICHT! GROSSE Probleme mit Terminalservern!!! Clients können keine Verbindung zu TS RDS herstellen. Microsoft überspringt GPOs und installiert Updates 2023-4 automatisch auf Terminalservern und GW.
"The server's security layer setting allows it to use native RDP encryption, which is no longer recommended. Consider changing the server security layer to require SSL. You can change this setting in Group Policy"
LÖSUNG: https://learn.microsoft.com/en-US/troubleshoot/windows-server/remote/incorrect-tls-use-rdp-with-ssl-encryption
Ich glaube nicht, dass die präsentierte Lösung etwas nützt. Man soll das einfach ignorieren? Aber wenn sich clients nicht mehr verbinden können, hilft doch Ignoranz nichts? Was war die echte Lösung?
KB5025229 installation auf Server 2019 mit Exchange 2019 kommt es zu Problemen in Verbindung mit Outlook 2013. Beim erstellen einer neuen Mail, hängt sich Outlook auf. Erst nach deinstallieren des Updates auf dem Server2019 hat das Problem behoben.
KB5025228 verursacht auch andere Probleme. Es kommt vereinzelt vor, dass DNS-Einträge nach der Installation des Updates vollständig gelöscht werden.
Die April Updates für Windows 10 LTSC 2019 über die Windows Updates sind jetzt verfügbar. Bisher keine Probleme.
Danke für die Ergänzung.
Wie cool! Ich kann bestätigen, dass ich das KB5025229 auf den ersten Systemen auch bereits über Windows Update angeboten bekomme. Woohoo! Danke für deine Rückmeldung @Robert!
Jetzt bleibt noch spannend abzuwarten, ob die Systeme, auf denen ich es bislang von Hand installiert hatte, beim nächsten Patchday wieder ganz regulär das Mai-Update über Windows Update bekommen; aber da bin ich recht zuversichtlich. Das April-Update wird mir aktuell jedenfalls nicht mehr angeboten, aber ist ja wie gesagt bereits händisch drauf.
Viele Grüße und ein schönes Wochenende,
Martin
Ich bekomme das Kumulative 04-2023 auf meinem Win11 Professional leider nicht installiert. Ist die Installation bei 34% angekommen bricht sie mit einem Fehlerkode ab, der auf unvollständige oder nicht vorhandene Installationsdateien hinweisen will.
Die üblichen Varianten mit dem löschen des Updates Cache und dem anschließendem Resync, führt leider auch zu keinem besseren Ergebnis.
Alle Kummulativen und SSU wurden vorher problemlos einpflegen können.
Noch eine Sache, die mir etwas Kopfzerbrechen bereitet ist die Nummer mit dem aktualisiertem Maschinenzertifikat der Domain Controller, im zum April im vergangenen Jahr mit dem Kumulativen 04-2022 für erhebliche Probleme sorgte, bis das Problem im Juli endgültig gelöst wurde. Ist eine Windows integrierte CA im Netz, müssen für die DC's neue Zertifikate erzeugt werden. Die enthalten eine neue OID, die dann die GID des Maschinenkontos der DC enthält.
Nun sollte die Prüfung des Zertifikats mit dem Kumulativen 04-2023 zwangsweise eingeschaltet werden. Ich finde dazu bisher keinerlei Info, ob dieses Erzwingen überhaupt statt gefunden hat.
Die vorletzte Stufe des Auslaufens der MD4 Verschlüsselung für das Ticketing sollte auch aktiviert werden. Damit wäre nach Plan ab dem 04-2023 nur noch AES 128 /256
gültig. Die Reg-Keys dazu werden jedoch noch ausgewertet und sie lassen sich bis 07-2023 noch manuell zurückstellen, damit MD4 temporär noch mal funktionert.
Auch zu diesem Thema finde ich in den Bereibungen zum Kummulativen 04/23 nichts.
Gibt es dazu überhaupt Info?
Ich bin unsicher, wie ich mit dem 04-2023 im Unternehmen umgehen soll. Bisher spiele ich dies auf keinem Server und Workstation ein.
Hallo, ich habe beim KB5025228 bei einem Virtuellen-Server offensichtlich Platzprobleme, kann es sein, dass dieser Patch auf einem Server mit 8,5 GB freien Speicherplatz abbricht?
Grüße Michael
Auf jeden Fall. Man sollte um die 15 GB freien Speicher beim 2016er Server einplanen. Und viel Zeit. Das Ding ist wirklich nervig…
Hallo zusammen,
die Installation von KB5025229 auf Windows Server 2019 ist bei uns sehr wahrscheinlich der Auslöser für unerwartete Reboots, wenn es sich um eine physische Maschine als Teil von Failover Clustern mit Hyper-V (mit per Fibre-Channel angeschlossenem Shared Storage) handelt.
Fehlermeldung im Eventlog System, Source: LsaSrv, Event ID: 5000, Description: The security package MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 generated an exception.
Dies führt dann zum bekannten Verhalten, wenn die LSASS abschmiert:
The process wininit.exe has initiated the restart of computer on behalf of user for the following reason: No title for this reason could be found
Reason Code: 0x50006
Shutdown Type: restart
Comment: The system process 'C:\Windows\system32\lsass.exe' terminated unexpectedly with status code -1073741819. The system will now shut down and restart.
Im Security Log finden sich als die letzten Einträge vor dem Ereignis Erfolgreiche Anmeldungen durch den Cluster Account CLIUSR.
Das Problem tritt bei uns nicht sofort, sondern erst mit einigen Tagen (>5) Verzögerung nach der Installation von KB5025229 auf.
Wir evaluieren gerade, ob die Deinstallation von KB5025229 das Problem erst einmal löst.
Gibt es gleich gelagerte Erfahrungen auch bei euch oder erleiden wir hier gerade ein "Einzelschicksal" und müssen ggfs. wo anders weiter suchen?
Grüße Stefan
Konnte ich bei uns noch nicht beobachten. Haben auch einen Hyper-V Cluster und Fibre Channel Shared Storage. Läuft bisher stabil.
Hallo Stefan,
habt Ihr da schon weiteres herausfinden können? Schaut bei uns recht ähnlich aus.
Grüße Peter
Dies scheint ein Problem mit aktiviertem LAPS native zu sein. Sobald den Clusterknoten GPOs mit Einstellungen zugewiesen wurden kommen gelegentliche Neustarts zustande. Nach entfernen der GPOs wieder alles ok.
Mir scheint als hätte MS das neue LAPS nicht mit Clusterknoten getestet.
Grüße Peter
Hallo Peter,
vielen Dank für Dein Feedback.
Nachdem wir KB5025229 wieder deinstalliert haben, ist der Fehler seither nicht mehr aufgetreten.
Ich kann bestätigen, dass wir ebenfalls die neuen LAPS Policies aktiviert haben.
Mein Verdacht ging bislang mehr in die Richtung der Kerberos Härtungen gemäß KB5020805 und CVE-2022-37967. Zusätzlich haben wir auch die Windows Server Security Baselines für Windows Server 2019 gemäß Microsoft Security Compliance Toolkit 1.0 im Einsatz.
Dem Thema neue LAPS Policies gehe ich aber definitiv nach und werde das auf unserer Test-Umgebung ausprobieren. Ich danke Dir für den Hinweis. Wird allerdings ein paar Tage dauern, bis wir eine halbwegs valide Aussage treffen können, da das Problem je erst verzögert auftritt. Oder hast Du es ad-hoc reproduzieren können?
Viele Grüße
Stefan
Hallo Stefan,
es dauert nach zuweisen der GPO mit den LAPS Einstellungen ca. 2 bis 4 Stunden. Konnte es auch bei uns an einem Hyper-V Testcluster (Server 2019) nachvollziehen.
Was aber der genaue Auslöser ist konnte ich noch nicht verifizieren. Werde jetzt erst mal denn nächsten Patchday abwarten und prüfen ob der Fehler immer noch da ist, bevor ich genauer Analysiere.
Grüße
Peter
Hallo Peter,
wir haben gestern KB5025229 wieder auf unserem Test-Cluster installiert und die (neuen) Windows LAPS Policies auf "not configured" gesetzt. Somit waren nur noch die Legacy LAPS Policies aktiv. Die Legacy LAPS CSE war bereits vorher schon deinstalliert.
Wir haben die LAPS Passwörter für den neuen wie auch legacy LAPS ablaufen lassen um so einen Kennwortwechsel zu forcieren. In den Eventlogs zu LAPS unter "Application and Service Logs\Microsoft\Windows\LAPS\Operational" kann man detailliert nachvollziehen, was der neue LAPS – hier dann im Legacy Mode, weil die alten Richtlinien ja noch aktiv sind – tut.
Bislang alles fein. Danke Peter für den Tip! Ich werde berichten.
Viele Grüße
Stefan
Hallo Stefan,
so sollte alles Problemlos laufen. Wenn du dann die alten LAPS Legacy GPOs durch die neuen ersetzt, sollte der Fehler auftreten.
Bin gespannt was rauskommt.
Schönes Wochende.
Peter
Hallo Peter,
ja, genau so habe ich das auch verstanden.
Bislang hat sich das auch so bestätigt, keine weiteren Fehler/Vorkommnisse auf dem Test-Cluster mehr.
Die Schnittmenge, die zum Problem führt, scheint aus unserer Sicht folgende zu sein:
– physikalische Maschine (?)
– neue LAPS CSE durch KB5025229
– Failover Cluster
– Hyper-V
– neue LAPS Policies
Bei virtuellen Failover-Clustern ohne Hyper-V Rolle – ein Cluster für MS SQL und ein Cluster für File-Services und ein Cluster für SCVMM – tritt das Problem trotz der neuen LAPS Policies bei uns bislang nicht auf.
Bin gespannt, ob Microsoft den Fehler auch schon erkannt hat und einen Fix hierfür nach schiebt. Bislang habe ich auf deren Seiten noch nichts dazu gefunden.
Viele Grüße
Stefan
Bislang scheint das Deaktivieren der native LAPS Policies das Problem tatsächlich zu lösen.
Im Mai Update KB5026362 scheint MS das Problem wohl auch anzugehen, siehe "This update addresses a race condition in Windows LAPS. The Local Security Authority Subsystem Service (LSASS) might stop responding. This occurs when the system processes multiple local account operations at the same time. The access violation error code is 0xc0000005."
Hallo Stefan,
mit den Updates vom Mai schaut es nun besser aus, KB5026362 scheint das Problem zu beheben.
Grüße
Peter
Scheint mit dem KB5026362 auch das neue Windows LAPS sauber zu funktionieren?
Momentan haben wir bei uns alles deaktiviert.
Update (welch Wortspiel^^) zum heutigen Mai-Patchday:
Auch nach manueller Installation des April-Updates (KB5025229) wurde mir heute unter Windows 10 LTSC 2019 das Mai-Update (KB5026362) automatisch über Windows Update angeboten und ließ sich problemlos installieren.
Viele Grüße,
Martin
Seit dem April Patchday läuft auf unseren 2016er Servern gpupdate alle 5 statt alle 90 Minuten (das sollte eigentlich nur bei DCs so sein). Server 2012R2 und Windows 10 sind nicht betroffen. Das Verhalten bleibt mit dem Mai Update bestehen und lässt sich auch nicht mit der Einstellung "Gruppenrichtlinien-Aktualisierungsintervall für Computer festlegen" auf 90 Minuten zurück stellen.
Auslöser war Symantec Endpoint Proection, der zur selben Zeit wie das Windows Update auf die aktuelle Version geupdated wurde.