[English]Mein Bericht, dass die März 2024-Updates für Windows unter manchen Windows Server-Systemen zu Problemen führen, hat sich nun bestätigt. Microsoft gibt inzwischen an, dass die März 2024-Sicherheitsupdates zu Problemen mit Kerberos-Anfragen auf Domänencontrollern führen können. LSASS-Speicherlecks führen dazu, dass der Speicher voll läuft und der DC langsam wird oder stehen bleibt. Dieses Problem betrifft lokale und Cloud-basierte Active Directory-DLCs nach der Installation des Sicherheitsupdates vom März 2024.
Anzeige
Mein Hinweis auf das Problem
Ich hatte die Tage im Blog-Beitrag Windows Server: März 2024-Update verursacht LSASS Memory-Leak auf DCs entsprechende Benutzerberichte aufgegriffen, die von Problemen bei ihren Windows Server Domain Controllern berichteten. Seit die März 2024-Sicherheitsupdate vom 12.3.2024 auf Windows Server-Systemen installiert sind, kommt es bei verschiedenen Nutzern zu Problemen. Ein Speicherleck in LSASS führt bei allen Windows Server-Varianten nach einiger Zeit zu Performance-Problemen auf Domain Controllern (DC). Komischer Weise wurde dieser Effekt nicht bei allen Systemen beobachtet, wie man in den Nutzerkommentaren zu obigem Blog-Beitrag nachlesen kann.
Microsoft bestätigt das Problem
Ein Nutzer wies per Kommentar darauf hin (danke), dass Microsoft das Problem "in den Windows Issue Reports WI748847, WI748848 und WI748849 bestätigt habe. Ich bin dann auf die Suche gegangen und habe die betreffenden Berichte beispielsweise im Know Issues-Abschnitt für Windows Server als Beitrag Issue with Kerberos requests on domain controllers may cause LSASS memory leaks gefunden.
Microsoft schreibt, dass nach der Installation der Sicherheitsupdates vom 12. März 2024 beim Local Security Authority Subsystem Service (LSASS) auf Domänencontrollern (DCs) ein Speicherleck auftreten kann. Dies tritt auf, wenn lokale und Cloud-basierte Active Directory-Domänencontroller Kerberos-Authentifizierungsanforderungen bedienen.
Das Speicherleck kann so extrem werden, das es LSASS zum Absturz bringt, was einen ungeplanten Neustart der zugrunde liegenden Domänencontroller (DCs) auslöst. Laut Microsoft betrifft es nur Umgebungen in Unternehmen, die einige Windows Server-Plattformen mit folgenden Windows-Varianten verwenden.
Anzeige
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
Microsoft schreibt, dass die Ursache inzwischen ermittelt wurde. Die Entwickler arbeiten an einer Lösung, die in den nächsten Tagen veröffentlicht wird. Dann will Microsoft den verlinkten Support-Beitrag aktualisieren. Bis zu dieser Lösung bleibt nur, das betreffenden März 2024-Update zu deinstallieren (schlechte Idee, da einige Schwachstellen geschlossen wurden) oder die Speicherauslastung der Server zu beobachten und diese ggf. von Zeit zu Zeit neu zu booten.
Ergänzung: Es gibt erste Sonderupdates (Out-of-band-Updates), die das Problem beheben, siehe Windows Server: Fix für (Kerberos) LSASS-Memory-Leak durch März 2024-Updates.
Ähnliche Artikel:
Microsoft Security Update Summary (12. März 2024)
Patchday: Windows 10-Updates (12. März 2024)
Patchday: Windows 11/Server 2022-Updates (12. März 2024)
Windows Server 2012 / R2 und Windows 7 (12. März 2024)
Windows 10/Server 2019: Update KB5035849 scheitert mit Fehler 0xd0000034
Windows Server: März 2024-Update verursacht LSASS Memory-Leak auf DCs
Windows Server: Fix für (Kerberos) LSASS-Memory-Leak durch März 2024-Updates
Anzeige
hier geistert noch was rum von dem ich noch nirgends was gelesen habe
https://www1.wdr.de/nachrichten/schieb-windows-11-update-100.html
Wurde bei uns noch nicht gemeldet. Da hätte sich der "WDR-Digitalexperte" auch mal ein wenig mehr anstrengen und wenigstens den Fehlercode mitteilen können, um das einzuschätzen. Na ja, gut, dass wir überall Experten sitzen haben.
Wir haben auch keine Beschwerden, vermutlich betrifft das (wenn es überhaupt existiert) nur eine bestimmte Hardware die nicht oft genutzt wird ansonsten wäre das Netz voll mit dieser Info.
Moin,
hab jetzt noch nicht ganz verstanden, wen das betreffen kann.
Das muss doch eig. jeden DC mit o.g. OS betreffen, oder?
Warum haben manche das Problem und manche nicht?
…dies tritt auf, wenn lokal UND Azure AD (betrifft nur hybrid)?
…dies tritt auf, wenn lokal ODER Azure AD (betrifft on-prem UND hybrid)?
Sorry, bin ich auch noch nicht ganz wach. Aber eine kurzes Wachrütteln würde mir bei meiner Bewertung helfen das Update erstmal auszusetzen oder nicht.
Eine 1:1 Testumgebung haben wir nämlich leider nicht.
naja, es gibt noch nicht mehr Informationen als in dem o.g. MS-Artikel. Entweder man ist betroffen und muss etwas häufiger neu starten als alle 4 Wochen oder eben nicht.
Ich denke, es kommt schlicht und ergreifend auf die Anzahl der Kerberos-Anfragen an, die der DC zu bewältigen hat. Je kleiner die Umgebung, desto weniger gravierend ist das Problem. Ich kann es allerdings überall beobachten.
In unserer "großen" Domäne mit 1500 Benutzerkonten, 2000 Computerkonten und einem fleißigen Exchange wächst der Speicherverbrauch innerhalb eines Tages auf 4,5 GB (und stabilisiert sich in dieser Region vorerst). In unseren kleinen Domänen ist das Problem ebenfalls zu sehen, aber es wächst nur langsam und fast unauffällig. Aber es wächst auch da.
Ich habe den DCs erstmal mehr RAM gegeben und ein Skript eingebunden, was den Server neu startet, wenn es zu bunt wird.
hi, was sind die schwellenwerte in deinem skript? nimmst du die speichergröße des prozesses?
oder was meinst du mit "zu bunt"?
thx
Als Schwellwert für den Prozess nehme ich 4,5 GB, oder wenn der Server insgesamt weniger als 1 GB frei hat. Aber das sind nur die Werte, die halt in unserer Umgebung passen. Das musst du bei dir selbst entscheiden. Es gab auch Meldungen, dass der Prozess sich über 10 GB nimmt.
Bei uns ist er seit gestern abend relativ stabil, knapp unterhalb der 4,5 GB. Schlechtere Performance sehe ich nicht. Ich werde nochmal den RAM erweitern, vielleicht ist das Problem dann sogar komplett entschärft.
Wir haben unter anderem zwei Hardware-DCs die haben halt 64 GB RAM, kleiner ging nicht… Auf dem einen hat der LSASS-Prozess aktuell 15 GB RAM, geht noch… bei den anderen DCs, auch virtuelle, hat der Prozess zwischen 500 MB und 8 GB, es ist aber noch genug RAM da, grundsätzlich laufen die. Ich weiß nur nicht wie lange, ich schaue gerade die Eventlogs der DCs durch und konnte tatsächlich bei drei virtuellen DCs Reboots feststellen. Die sind nur immer so schnell wieder da, dass das nicht mal das Monitoring anschlägt. Wir grübeln jetzt, was wir machen, es darauf ankommen lassen (Sicherheits-)Updates deinstallieren, oder die DCs ab und zu halt mal crashen lassen, bis von MS ein Update oder KIR dazu kommt. Pest oder Cholera…
Wir starten unsere DCs auch mit Hilfe eine Skripts ordnungsgemäß neu. Spricht in der Regel nichts dagegen, wenn man genug DCs hat.
"Crashen" halte ich für gefährlich. Nicht das wirklich mal ein DC sich verabschiedet.
Bei mir hat heute der AV Scanner angeschlagen, als ich den Taskmanager auf einem DC geöffnet habe. Masqueraded Process MSFT wurde erkannt. Dies ist auf das fehlerhafte Microsoft Update zurückzuführen. Wurde vom AV Hersteller bestätigt.
Ansonsten sind unsere DCs aber unauffällig und haben auch keine hohe Auslastung beim LSASS. Dümpeln so zwischen 300 und 900 MB, also nix dramatisches.
Es gibt scheinbar KIRs für das Problem, ich kann sie nur noch nicht finden.
https://support.microsoft.com/en-us/topic/march-12-2024-kb5035857-os-build-20348-2340-a7953024-bae2-4b1a-8fc1-74a17c68203c
Da ist noch nichts.
Hab schonmal was gefunden, für diejenigen die basteln wollen/können:
Temporary Fix by using Sysinternals RamMap. If you empty the working sets it knocks this back down to normal without needing a reboot.
In short it removes memory from all user-mode and system working sets to the Standby or Modified page lists, which appears to be happening in this leak.
Tool: https://learn.microsoft.com/en-us/sysinternals/downloads/rammap
Scheduled Task:
– Zitatende –
Und dann ein Stück weiter unten, wer traut sich…???
vor 11 Std.
Links to download the rollback to fix this
WS 2022: https://download.microsoft.com/download/6/9/4/6946469b-e249-43ae-9f64-13757e071e87/Windows%20Server%202022%20KB5035857%20240320_02351%20Known%20Issue%20Rollback.msi
WS 2019 https://download.microsoft.com/download/b/5/1/b516a934-d3f4-41aa-be32-11ff29f13b46/Windows%2010%201809%20and%20Windows%20Server%202019%20KB5035849%20240319_22401%20Known%20Issue%20Rollback.msi
WS 2016 https://download.microsoft.com/download/4/2/d/42d3c69a-b960-4c1c-8037-1b0b64fb4b17/Windows%2010%201607%20and%20Windows%20Server%202016%20KB5035855%20240319_22251%20Known%20Issue%20Rollback.msi
Aber auch 2012R2 ist betroffen, wer solche DCs noch hat… (dem ist nicht zu helfen, im doppelten Sinne!!!)
Ich traue mich. Der RAM-Bedarf steigt auch mit KIR, bin noch nicht sicher, ob es am Ende weniger sein wird. Habe leider keine Ahnung, wie es vor dem Update war.
Rammap ist ein zweischneidiges Schwert. Das bläst am Ende heftig das Pagefile auf. Muss man mögen.
Ich glaube, das KIR funktioniert nicht.
Hast du es auch per Gruppenrichtlinie aktiviert? Du musst erst das ADMX ins Sysvol verlagern und dann eine Richtlinie setzen, in dem du die Option auf DISABLED setzt. Ich habe das testweise mal mit einem DC gemacht und da sieht es gut aus, der lsass Prozess belegt da nur noch um die 500 MB RAM, und nicht mehr 8 GB.
https://learn.microsoft.com/en-us/troubleshoot/windows-client/group-policy/use-group-policy-to-deploy-known-issue-rollback
Ich habe es natürlich auf enabled gesetzt. Wer lesen kann, ist klar im Vorteil. 😄
Danke
…oder es ist nur zur Hälfte gelöst, etwas besser sieht es aus. Vielleicht gibt es ja noch ein weiteres Leck bei LDAP.
Für einige Servervariante gibt es inzwischen neue Out-of-Ba-d-Updates.
Für Server 2022: https://support.microsoft.com/en-us/topic/march-22-2024-kb5037422-os-build-20348-2342-out-of-band-e8f5bf56-c7cb-4051-bd5c-cc35963b18f3
Es erfolgt keine automatische Verteilung über den WSUS, man kann diese Updates aber manuell importieren.
Siehe meinen Nachtrag am Artikelende, wo der Verweis auf Windows Server: Fix für (Kerberos) LSASS-Memory-Leak durch März 2024-Updates verlinkt ist. Dort finden sich auch die OOB-Updates, die freigegeben wurden.
Bei uns gab es heute diverse Loginprobleme (DMS, Outlook/Exchange), die 2 Domänencontroller hatten keine außergewöhnliche Speicherauslastung. Ein Neustart der DCs hat aber die Loginprobleme sofort behoben. Im Ereignislog eines DCs stand, der Anmeldedienst wäre nicht gestartet (SYSTEM LSA Event 40960).
Fixes sind bereits erschienen, allerdings nicht für 2019. Toll, dass wir 2019er haben.
Edit: Oh, Günter war schneller. 👍🏻