{"id":275478,"date":"2022-11-25T18:54:12","date_gmt":"2022-11-25T17:54:12","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=275478"},"modified":"2024-03-20T09:10:54","modified_gmt":"2024-03-20T08:10:54","slug":"windows-server-november-2022-updates-verursachen-lsass-memory-leak","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/11\/25\/windows-server-november-2022-updates-verursachen-lsass-memory-leak\/","title":{"rendered":"Windows Server November 2022-Updates verursachen LSASS-Memory Leak"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Windows\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" alt=\"Windows\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2022\/11\/25\/windows-server-november-2022-updates-cause-lsass-memory-leak\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Ein Blog-Leser hatte bereits in einem Kommentar die Frage gestellt, ob jemand etwas zu einem Speicherleck durch November 2022-Updates bei Windows Server 2016 bemerkt habe. Ich wollte es gerade separat aufgreifen, aber Microsoft ist mir knapp zuvor gekommen und hat ein Speicherleck in LSASS, verursacht durch die Sicherheitsupdates vom 8. November 2022 in diversen Windows Server-Versionen best\u00e4tigt. Das Problem kann durch einen Workaround abgeschw\u00e4cht werden.<\/p>\n<p><!--more--><\/p>\n<h2>Eine Benutzermeldung<\/h2>\n<p>Marcel hatte sich in <a href=\"https:\/\/borncity.com\/blog\/2022\/11\/18\/out-of-band-updates-korrigieren-kerberos-authentifizierungsprobleme-auf-dcs-17-nov-2022\/#comment-136637\" target=\"_blank\" rel=\"noopener\">diesem Kommentar<\/a> gemeldet und fragte, ob andere Administratoren die gleichen Probleme nach Installation des November 2022-Update h\u00e4tten, die in nachfolgendem <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/ask-the-directory-services-team\/november-2022-out-of-band-update-released-take-action\/bc-p\/3681624\" target=\"_blank\" rel=\"noopener\">Techcommunity-Beitrag<\/a> vom 18. November 2022 durch <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/ask-the-directory-services-team\/november-2022-out-of-band-update-released-take-action\/bc-p\/3681191\/highlight\/true#M894\" target=\"_blank\" rel=\"noopener\">einen Benutzer beschrieben<\/a> wurden.<\/p>\n<blockquote><p>Hello everyone,<\/p>\n<p>Does someone has identified a memory leak caused by lsass.exe process (attach to services : netlogon, KDC, Active Directory, etc.) on Windows Server 2016 with domain controllers role since the KB5019964 installation?<\/p>\n<p>I have some domain controllers on W2k16 with latest November CU patch and they all have a memory leak caused by the lsass.exe process.<\/p>\n<p>The other domain controllers which doesn't have the November CU installed don't have this memory leak.<br \/>\nI'm currently installing the OOB patch to see if it fix this memory leak.<\/p>\n<p>EDIT 23\/11\/2022: The OOB patch didn't fix the memory leak on lsass.exe process so we proceed to uninstall the November CU KB5019964 and OOB KB5021664 on our Windows Server 2016 Domain Controllers.<\/p><\/blockquote>\n<p>Der betreffende Administrator hat also ein Speicherleck, verursacht durch das November 2022 Update KB5019964 auf seinem Domain-Controllern festgestellt. Das Sonderupdate vom 17. November 2022 zur Korrektur der Kerberos-Authentifizierungsprobleme beseitigt dieses Speicherleck nicht. Auf die Meldung von Marcel gab es hier im Blog aber keine anderen R\u00fcckmeldungen.<\/p>\n<h2>Microsoft best\u00e4tigt LSASS-Memory Leak<\/h2>\n<p>Microsoft hat zum 23. November 2022 auf den Release Health-Seiten diverser Windows Server-Versionen den neuen Eintrag <a href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/release-health\/status-windows-10-1809-and-windows-server-2019#2966msgdesc\" target=\"_blank\" rel=\"noopener\">Possible memory leak in Local Security Authority Subsystem Service (LSASS,exe)<\/a> eingestellt, der das Speicherleck im Local Security Authority Subsystem Service (LSASS.exe) best\u00e4tigt. Betroffenen sind folgende Server-Versionen :<\/p>\n<ul>\n<li>Windows Server 2019: Update <a href=\"https:\/\/support.microsoft.com\/help\/5019966\" target=\"_blank\" rel=\"noopener\">KB5019966<\/a><\/li>\n<li>Windows Server 2016: Update <a href=\"https:\/\/support.microsoft.com\/help\/5019964\" target=\"_blank\" rel=\"noopener\">KB5019964<\/a><\/li>\n<li>Windows Server 2012 R2: Update <a href=\"https:\/\/support.microsoft.com\/help\/5020023\" target=\"_blank\" rel=\"noopener\">KB5020023<\/a>, Update <a href=\"https:\/\/support.microsoft.com\/help\/5020010\" target=\"_blank\" rel=\"noopener\">KB5020010<\/a><\/li>\n<li>Windows Server 2012: Update <a href=\"https:\/\/support.microsoft.com\/help\/5020009\" target=\"_blank\" rel=\"noopener\">KB5020009<\/a>, Update <a href=\"https:\/\/support.microsoft.com\/help\/5020003\" target=\"_blank\" rel=\"noopener\">KB5020003<\/a><\/li>\n<li>Windows Server 2008 R2 SP1: Update <a href=\"https:\/\/support.microsoft.com\/help\/5020000\" target=\"_blank\" rel=\"noopener\">KB5020000<\/a>, Update <a href=\"https:\/\/support.microsoft.com\/help\/5020013\" target=\"_blank\" rel=\"noopener\">KB5020013<\/a><\/li>\n<li>Windows Server 2008 SP2; OOB-Update <a href=\"https:\/\/support.microsoft.com\/help\/5021657\" target=\"_blank\" rel=\"noopener\">KB5021657<\/a><\/li>\n<\/ul>\n<p>falls die genannten Sicherheitsupdates vom 8. November oder die Out-of-Band-Updates vom 17.\/18. November 2022 (<a href=\"https:\/\/borncity.com\/blog\/2022\/11\/18\/out-of-band-updates-korrigieren-kerberos-authentifizierungsprobleme-auf-dcs-17-nov-2022\/\">Out-of-Band-Updates korrigieren Kerberos Authentifizierungsprobleme auf DCs (17. Nov. 2022)<\/a>) installiert wurden. Microsoft schreibt dazu:<\/p>\n<blockquote><p>Nach der Installation des Updates [die KB-Nummer h\u00e4ngt von der Server-Version ab] oder sp\u00e4teren Updates auf Dom\u00e4nencontrollern (DCs) kann es zu einem Speicherleck beim Local Security Authority Subsystem Service (LSASS,exe) kommen.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/a8490d7d868a4ef0a95d109cc5c0eef8\" alt=\"\" width=\"1\" height=\"1\" \/>Abh\u00e4ngig von der Arbeitslast Ihrer DCs und der Zeit, die seit dem letzten Neustart des Servers vergangen ist, kann LSASS die Speichernutzung mit der Betriebszeit Ihres Servers kontinuierlich erh\u00f6hen, und der Server reagiert m\u00f6glicherweise nicht mehr oder startet automatisch neu.<\/p>\n<p>Hinweis: Die Out-of-Band-Updates f\u00fcr DCs, die am 17. November 2022 und 18. November 2022 ver\u00f6ffentlicht wurden, k\u00f6nnten von diesem Problem betroffen sein.<\/p><\/blockquote>\n<p>Die Update-Nummern vom 8. November 2022 habe ich oben herausgezogen &#8211; die Out-of-Band-Updates vom 17.\/18. November 2022 sind in <a href=\"https:\/\/borncity.com\/blog\/2022\/11\/18\/out-of-band-updates-korrigieren-kerberos-authentifizierungsprobleme-auf-dcs-17-nov-2022\/\">Out-of-Band-Updates korrigieren Kerberos Authentifizierungsprobleme auf DCs (17. Nov. 2022)<\/a> genannt.<\/p>\n<h2>Workaround vorgeschlagen<\/h2>\n<p>Im Support-Beitrag <a href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/release-health\/status-windows-10-1809-and-windows-server-2019#2966msgdesc\" target=\"_blank\" rel=\"noopener\">Possible memory leak in Local Security Authority Subsystem Service (LSASS,exe)<\/a> schl\u00e4gt Microsoft vor, eine administrative Eingabeaufforderung (Als Administrator ausf\u00fchren) zu \u00f6ffnen und \u00fcber folgenden Befehl einen Registrierungsschl\u00fcssel einzutragen:<\/p>\n<pre>reg add \"HKLM\\System\\CurrentControlSet\\services\\KDC\" -v \"KrbtgtFullPacSignature\" -d 0 -t REG_DWORD<\/pre>\n<p>Sobald dieses bekannte Problem behoben ist, sollten Sie <em>KrbtgtFullPacSignature<\/em> auf eine h\u00f6here Einstellung setzen, je nachdem, was Ihre Umgebung zul\u00e4sst. Es wird empfohlen, den Enforcement-Modus zu aktivieren, sobald Ihre Umgebung bereit ist. Weitere Informationen zu diesem Registrierungsschl\u00fcssel finden Sie in <a href=\"https:\/\/support.microsoft.com\/topic\/kb5020805-how-to-manage-kerberos-protocol-changes-related-to-cve-2022-37967-997e9acc-67c5-48e1-8d0d-190269bf4efb\" target=\"_blank\" rel=\"noopener\">KB5020805: How to manage Kerberos protocol changes related to CVE-2022-37967<\/a>. Micrsooft arbeitet an einer L\u00f6sung und will in einer der n\u00e4chsten Versionen ein Update bereitstellen.<\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/>\n<\/strong><a href=\"https:\/\/borncity.com\/blog\/2022\/11\/09\/patchday-windows-10-updates-8-november-2022\/\">Patchday: Windows 10-Updates (8. November 2022)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/11\/09\/patchday-windows-11-server-2022-updates-8-november-2022\/\">Patchday: Windows 11\/Server 2022-Updates (8. November 2022)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/11\/09\/windows-7-server-2008-r2-windows-8-1-server-2012-r2-updates-8-november-2022\/\">Windows 7\/Server 2008 R2; Windows 8.1\/Server 2012 R2: Updates (8. November 2022)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/11\/18\/out-of-band-updates-korrigieren-kerberos-authentifizierungsprobleme-auf-dcs-17-nov-2022\/\">Out-of-Band-Updates korrigieren Kerberos Authentifizierungsprobleme auf DCs (17. Nov. 2022)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/11\/10\/november-2022-updates-fr-windows-nderungen-am-netlogon-und-kerberos-protokoll\/\">November 2022-Updates f\u00fcr Windows: \u00c4nderungen am Netlogon- und Kerberos-Protokoll<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/03\/20\/windows-server-mrz-2023-update-verursacht-lsass-memory-leak-auf-dcs\/\" rel=\"ugc\">Windows Server: M\u00e4rz 2024-Update verursacht LSASS Memory-Leak auf DCs<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Ein Blog-Leser hatte bereits in einem Kommentar die Frage gestellt, ob jemand etwas zu einem Speicherleck durch November 2022-Updates bei Windows Server 2016 bemerkt habe. Ich wollte es gerade separat aufgreifen, aber Microsoft ist mir knapp zuvor gekommen und hat &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/11\/25\/windows-server-november-2022-updates-verursachen-lsass-memory-leak\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[11,185,2557],"tags":[24,4315,4364],"class_list":["post-275478","post","type-post","status-publish","format-standard","hentry","category-problemlosung","category-update","category-windows-server","tag-problem","tag-update","tag-windows-server"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/275478","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=275478"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/275478\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=275478"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=275478"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=275478"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}