{"id":261452,"date":"2022-01-12T10:00:15","date_gmt":"2022-01-12T09:00:15","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=261452"},"modified":"2024-02-11T18:55:13","modified_gmt":"2024-02-11T17:55:13","slug":"windows-server-januar-2022-sicherheitsupdates-verursachen-boot-schleife","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/01\/12\/windows-server-januar-2022-sicherheitsupdates-verursachen-boot-schleife\/","title":{"rendered":"Windows Server: Januar 2022-Sicherheitsupdates verursachen Boot-Schleife"},"content":{"rendered":"

\"Windows\"[English<\/a>]Ich ziehe es mal separat als Blog-Beitrag heraus. Administratoren von Windows Domain Controllern sollten mit der Installation der Sicherheitsupdates von Januar 2022 vorsichtig sein. Mir liegen inzwischen zahlreiche Berichte vor, dass die Windows Server, die als Domain Controller fungieren, anschlie\u00dfend nicht mehr booten. Lsass.exe (oder wininit.exe<\/em>) l\u00f6st einen Blue Screen mit dem Stopp-Fehler 0xc0000005 aus. Es kann nach meiner Einsch\u00e4tzung alle Windows Server-Versionen, die als Domain Controller fungieren treffen.<\/p>\n

<\/p>\n

Januar 2022-Updates adressieren Active Directory-Bug<\/h2>\n

\"\"Ich habe es in den am Artikelende verlinkten Blog-Beitr\u00e4gen zum Patchday aufgef\u00fchrt. In allen Sicherheitsupdates f\u00fcr Windows Server (z.B. Update KB5009624<\/a> (Monthly Rollup for Windows 8.1 and Windows Server 2012 R2)) hei\u00dft es:<\/p>\n

Addresses a Windows Server issue in which Active Directory attributes are not written correctly during a Lightweight Directory Access Protocol (LDAP) modify operation with multiple specific attribute changes.<\/p><\/blockquote>\n

Dabei scheint aber etwas schief gegangen zu sein, denn das Sicherheitsupdate kann eine Boot-Schleife auf Windows Servern ausl\u00f6sen, die als Domain Controller fungieren.<\/p>\n

Boot-Loop bei Windows Server<\/h2>\n

Blog-Leser John L. hat mich bereits am 11. Januar 2022 per Mail kontaktiert und auf ein fettes Problem in Verbindung mit dem Update hingewiesen. Das Modul lsass.exe<\/em>, Version: 6.3.9600.17415, l\u00f6st \u00fcber die Bibliothek msv1_0.DLL<\/em>, Version: 6.3.9600.20239, einen Fehler 0xc0000005 (Zugriffsverletzung) aus, so dass der Server in eine Boot-Schleife ger\u00e4t.<\/p>\n

\"\"Name der fehlerhaften Anwendung: lsass.exe, Version: 6.3.9600.17415, Zeitstempel: 0x545042fe
\nName des fehlerhaften Moduls: msv1_0.DLL, Version: 6.3.9600.20239, Zeitstempel: 0x61c1a5c8
\nAusnahmecode: 0xc0000005
\nFehleroffset: 0x0000000000002663
\nID des fehlerhaften Prozesses: 0x1f4
\nStartzeit der fehlerhaften Anwendung: 0x01d8072ac5b2c15a
\nPfad der fehlerhaften Anwendung: C:\\Windows\\system32\\lsass.exe
\nPfad des fehlerhaften Moduls: C:\\Windows\\system32\\msv1_0.DLL
\nBerichtskennung: afc36fda-7320-11ec-813a-00155d012601
\nVollst\u00e4ndiger Name des fehlerhaften Pakets:
\nAnwendungs-ID, die relativ zum fehlerhaften Paket ist: \"\"<\/p><\/blockquote>\n

Ich hatte dies bereits im Blog-Beitrag Patchday: Windows 8.1\/Server 2012 R2-Updates (11. Januar 2022), m\u00f6gliche Boot-Probleme<\/a> angesprochen. John hatte folgende Ratschl\u00e4ge:<\/p>\n

Ich will davon abraten, Snapshots zur\u00fcckzurollen, besonders bei DC's, um keine USN-Rollbacks zu provozieren.<\/p>\n

Workaround: Einen der beiden DC's am Hochfahren hindern, dann erst auf dem einen und dann auf dem anderen DC die heutigen Hotfixes deinstallieren.<\/p><\/blockquote>\n

In den Kommentaren zum obigen Blog-Beitrag (und dem englischsprachigen Pendant) best\u00e4tigen weitere Blog-Leser dieses Problem. Blog-Leser MOM20xx hatte die Boot-Schleife auch nach Deinstallation des Updates und merkt<\/a> an, dass auch das Security-only Update KB5009595 auf den Domain Controllern zu deinstallieren sei.<\/p>\n

Betrifft vermutlich alle Windows Server DCs<\/h2>\n

Blog-Leser Simon schreibt in diesem Kommentar<\/a>, dass es auch\u00a0 Windows Server 2016\/2019 Domain Controller betreffe. Er hat dann folgenden Dump-Auszug gepostet.<\/p>\n

The process wininit.exe has initiated the restart of computer DC on behalf of user for the following reason: No title for this reason could be found
\nReason Code: 0x50006
\nShutdown Type: restart
\nComment: The system process 'C:\\Windows\\system32\\lsass.exe' terminated unexpectedly with status code -1073741819. The system will now shut down and restart.<\/p>\n

Faulting application name: lsass.exe, version: 10.0.14393.4704, time stamp: 0x615be0cd
\nFaulting module name: lsadb.dll, version: 10.0.14393.4886, time stamp: 0x61d5242f
\nException code: 0xc0000005
\nFault offset: 0x000000000001be5b
\nFaulting process id: 0x2a8
\nFaulting application start time: 0x01d8077b1080a9da
\nFaulting application path: C:\\Windows\\system32\\lsass.exe
\nFaulting module path: C:\\Windows\\system32\\lsadb.dll
\nReport Id: e14067b5-aac7-46a4-9e21-cc45371c522a
\nFaulting package full name:
\nFaulting package-relative application ID:<\/p><\/blockquote>\n

Dort l\u00f6st also wininit.exe<\/em> den Fehler 0xc0000005 am Domain-Controller aus. Ich habe auf Facebook auch noch eine R\u00fcckmeldung, dass Update KB5008873 bei Windows Server 2019 den Neustart der AD-Controller veranlasst (dort kommt folgende Benachrichtigung, scheint wohl kein Stopp-Fehler 0xc0000005 zu sein).<\/p>\n

\"Boot-Loop
\nBoot-Loop bei Windows Server 2019<\/p>\n

Falls wer noch einige Hinweise braucht, wie man das Update in einer Windows PE-Umgebung deinstalliert, verweise ich mal auf How to Remove Updates from Windows Recovery Environment (WinRE)<\/a>.<\/p>\n

Anmerkung:<\/strong> Laut diesem Kommentar<\/a> verursacht das Update KB5009543 Probleme mit L2TP-VPNs. Auf reddit.com gibt es diesen Thread dazu.<\/p>\n

Zudem liegen mir Meldungen<\/a> vor, dass VMs auf Server 2012 R2 Hypervisor nicht mehr starten. Als Fehlermeldung kommt das der Hypervisor nicht l\u00e4uft: Hypervisor launch failed; The operating systems boot loader failed with error 0xC00000BB. Ist bei Server 2012 R2 wohl Update KB5009624 \u2013 nur als Hinweis, falls es unter Windows Server 2016 \u2013 2019 auch Problemen geben sollte.<\/p><\/blockquote>\n

\u00c4hnliche Artikel:
\n<\/strong>Microsoft Office Updates (4. Januar 2022)<\/a>
\nMicrosoft Security Update Summary (11. Januar 2022)<\/a>
\nPatchday: Windows 8.1\/Server 2012 R2-Updates (11. Januar 2022), m\u00f6gliche Boot-Probleme<\/a>
\nPatchday: Windows 10-Updates (11. Januar 2022)<\/a>
\nPatchday: Windows 11-Updates (11.Januar 2022)<\/a>
\nPatchday: Updates f\u00fcr Windows 7\/Server 2008 R2 (11. Januar 2022)<\/a><\/p>\n

Windows Server: Januar 2022-Sicherheitsupdates verursachen Boot-Schleife<\/a>
\nWindows VPN-Verbindungen (L2TP over IPSEC) nach Januar 2022-Update kaputt<\/a>
\nWindows Server 2012\/R2: Januar 2022 Update KB5009586 brickt Hyper-V Host<\/a>
\nMicrosoft Patchday-Probleme Jan. 2022: Bugs best\u00e4tigt, Updates zur\u00fcckgezogen?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Ich ziehe es mal separat als Blog-Beitrag heraus. Administratoren von Windows Domain Controllern sollten mit der Installation der Sicherheitsupdates von Januar 2022 vorsichtig sein. Mir liegen inzwischen zahlreiche Berichte vor, dass die Windows Server, die als Domain Controller fungieren, anschlie\u00dfend … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[11,426,185,2557],"tags":[8297,4328,4315,4364],"class_list":["post-261452","post","type-post","status-publish","format-standard","hentry","category-problemlosung","category-sicherheit","category-update","category-windows-server","tag-patchday-1-2022","tag-sicherheit","tag-update","tag-windows-server"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/261452","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=261452"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/261452\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=261452"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=261452"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=261452"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}