{"id":277892,"date":"2023-02-16T02:59:27","date_gmt":"2023-02-16T01:59:27","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=277892"},"modified":"2024-01-24T11:29:26","modified_gmt":"2024-01-24T10:29:26","slug":"windows-server-2022-februar-2023-patchday-und-des-esxi-vm-secure-boot-problem","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/02\/16\/windows-server-2022-februar-2023-patchday-und-des-esxi-vm-secure-boot-problem\/","title":{"rendered":"Windows Server 2022: Februar 2023-Patchday und das ESXi VM-Secure Boot-Problem"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Das am 14. Februar 2023 f\u00fcr Windows Server 2022 ver\u00f6ffentlichte Sicherheitsupdate KB5022842<\/a> l\u00f6st einen Kollateralschaden aus. Virtuelle Maschinen unter ESXi k\u00f6nnen anschlie\u00dfend nach einem Reboot nicht mehr starten und finden entweder ihre Systemlaufwerke nicht mehr oder l\u00f6sen einen Secure Boot-Fehler aus. Abschalten des Secure Boot hilft – Microsoft und VMware haben inzwischen diesen Fehler best\u00e4tigt. Erg\u00e4nzung:<\/strong> Es gibt einen Patch von VMware.<\/p>\n

<\/p>\n

Boot-Probleme bei VMs<\/h2>\n

\"\"Ich hatte das f\u00fcr Windows Server 2022 ver\u00f6ffentlichte Sicherheitsupdate KB5022842<\/a> im Blog-Beitrag Patchday: Windows 11\/Server 2022-Updates (14. Februar 2023)<\/a> vorgestellt. Kurz nach Ver\u00f6ffentlichung des Beitrags meldeten<\/a> sich bereits Nutzer, die \u00fcber Probleme berichteten.<\/p>\n

User #1:\u00a0 Meine Vorlage Win 2022 VM f\u00e4hrt nach dem Update nicht mehr hoch, wenn man diese einmal ausgeschaltet hat.<\/p>\n

User #2: Windows Server 2022 mit aktiviertem Secure Boot \/ VBS in der VMware machen nach dem Feb. Update Probleme und lassen sich nicht mehr starten.<\/p>\n

Erst kommt: Windows Boot Manager\u2026 Security Violation
\nDanach Windows Boot Manager\u2026 unsuccessful<\/p>\n

Kann das jemand best\u00e4tigen?<\/p>\n

User #3: Gleiches Problem, ESXi 7.0.3
\nNach Update l\u00e4uft der Server, nach weiterem Boot
\nkommt \"Security Violation\"
\nDeaktivieren des Secure Boot l\u00f6st das Problem<\/p>\n

User #4: Selbiges Problem bei unseren Win 2022 Server VMs. Durch Deaktivierung von VBS und Secure Boot f\u00e4hrt die VM wieder hoch. (ESXi 7.0.3 Umgebung)<\/p><\/blockquote>\n

Dennis C. hat mich ebenfalls per E-Mail kontaktiert und berichtete den Fehler beim VMs:<\/p>\n

Sehr geehrter Herr Born!<\/p>\n

Vorab: Vielen Dank f\u00fcr Ihre Website, sie hat mir schon einige Male geholfen.<\/p>\n

Ich wei\u00df nicht, ob wir ein Einzelfall sind, aber seit heute haben wir ein Problem, welches ich gerne mit Ihnen teilen m\u00f6chte. Vielleicht k\u00f6nnen Sie es ja verifizieren und ver\u00f6ffentlichen:<\/p>\n

Ich habe bei einem Kunden folgendes Problem (Server 2022): Ist eine VM in der Version 19 vorhanden, der Server Member eine Dom\u00e4ne und erh\u00e4lt das Februarupdate (KB5022842), \u00fcberlebt der Server den n\u00e4chsten Neustart nicht.<\/p>\n

\u00dcber die Konsole kann man noch folgendes sehen, bevor in die Boot-Optionen gewechselt wird:<\/p><\/blockquote>\n

\"VMware<\/p>\n

Wenn ich nun in den VM-Optionen das Security-Boot deaktiviere, startet der Server wieder wie gewohnt:<\/p><\/blockquote>\n

\"ESXi-Settings\"<\/p>\n

Interessanterweise mussten bei mir die 3 Voraussetzungen zusammentreffen. Ein Server in der VM-Version 16 war nicht betroffen, dort gab es die Secure-Boot-Option nicht.<\/p><\/blockquote>\n

Habe Dennis dann auf die Diskussion im Blog hingewiesen. Auch auf patchlist.org wird das Thema diskutiert:<\/p>\n

So far this is isolated to a single VM on VMware ESXI, but we have a server 2022, new install from about 2 weeks ago, installed updated Ok, rebooted OK.<\/p>\n

Just rebooted again and it's got a \"security violation.\"<\/p>\n

Turning off VBS and secure boot seems to have fixed it for now.<\/p><\/blockquote>\n

Dort kam der Hinweis, dass auf reddit.com im Patchday-Superthread<\/a> sowie hier<\/a> der Fehler ebenfalls gemeldet wurde. Martin merkte auf Facebook in einer Admin-Gruppe zu meinem Post noch an:<\/p>\n

Wichtig ist sicherlich auch der Sachverhalt, dass der erste Restart funktioniert. Also der Server l\u00e4uft nach den Updates erstmal. Erst nach dem n\u00e4chsten regul\u00e4ren Neustart tritt das Problem dann auf. Nur mal als Info f\u00fcr alle die sich vielleicht sicher f\u00fchlen, dass es bei Ihnen nicht ist.<\/p><\/blockquote>\n

Es sind wohl alles F\u00e4lle, in denen VMware ESCi zur Virtualisierung verwendet wird. Die Deinstallation von KB5022842 behebt das Problem laut Simon<\/a> nicht, weil die EFI Dateien in der neuen Version zu verbleiben scheinen.<\/p>\n

In diesem Kommentar<\/a> bezieht sich einer auf Probleme bei Windows Server 2019 und Hyper-V, was von einem zweiten Nutzer best\u00e4tigt wird, aber mit obigen Beschreibungen nicht wirklich korrespondiert. Und dieser Kommentar<\/a> berichtet, dass Citrix PVS vdisks\/Maschinen nach dem Update nicht mehr starten.<\/p>\n

VMware best\u00e4tigt den Bug<\/h2>\n

Andi hat sich bereits im Blog mit diesem Kommentar<\/a> gemeldet (danke daf\u00fcr) und berichtet, das ein Kollege einen Support-Case bei Microsoft er\u00f6ffnet habe:<\/p>\n

Ein Kollege hat bei MS einen A Call aufgemacht.
\nMS ist der Fehler bekannt, liegt am ESXI
\nESXI 8.0 hat das Problem nicht.
\nEntweder kommt Patch von MS oder von VMWare<\/p><\/blockquote>\n

Inzwischen hat VMware den Support-Beitrag Virtual Machine with Windows Server 2022 KB5022842 (OS Build 20348.1547) configured with secure boot enabled not booting up (90947)<\/a> dazu ver\u00f6ffentlicht – danke an Michael<\/a> und weitere Blog-Leser auf Facebook f\u00fcr den Hinweis. In diesem reddit.com Post<\/a> wird der Fehler nochmals zusammen gefasst und der Hinweis auf den Support-Beitrag von VMware geliefert. Im VMware-Supportbeitrag wird der Fehler beschrieben und es hei\u00dft:<\/p>\n

Currently there is no resolution for virtual machines running on vSphere ESXi 6.7 U2\/U3 and vSphere ESXi 7.0.x. However the issue doesn't exist with virtual machines running on vSphere ESXi 8.0.x. vSphere ESXi 6.7 is End of general Support.<\/p>\n

Uninstalling the KB5022842<\/a> patch will not resolve the issue. If the Virtual machine has already been updated, then the only available options are:<\/p>\n

    \n
  1. Upgrade the ESXi Host where the virtual machine in question is running to vSphere ESXi 8.0<\/li>\n
  2. Disable \"Secure Boot\" on the VMs.<\/li>\n<\/ol>\n<\/blockquote>\n

    Im Supportbeitrag ist dann ein Upgrade auf vSphere ESXi 8.0 sowie Secure Boot in den VMs deaktivieren genannt. VMware warnt vor der Istallation des Updates KB5022842 auf einer virtuellen Maschine mit Windows 2022 Server, bis das Problem behoben ist. Von Microsoft gibt es inzwischen den Beitrag Windows Server 2022 might not start up<\/a> im Windows Server 2022 Health Status-Bereich unter Known Issues.<\/p>\n

    After installing KB5022842<\/a> on guest virtual machines (VMs) running Windows Server 2022 on some versions of VMware ESXi, Windows Server 2022 might not start up. Only Windows Server 2022 VMs with Secure Boot enabled are affected by this issue. Affected versions of VMware ESXi are versions vSphere ESXi 7.0.x and below.<\/p><\/blockquote>\n

    Es wird auf den obigen VMware-Support-Beitrag verwiesen. Microsoft und VMware untersuchen dieses Problem und werden weitere Informationen bereitstellen, sobald diese verf\u00fcgbar sind.<\/p>\n

    Erg\u00e4nzende Anmerkung:<\/strong> Das ist erneut ein Fall f\u00fcr eine Entwicklung, die ich bereits seit Jahren beobachte. Die Drittanbieter Virtualisierungsl\u00f6sungen kollidieren mit Windows as a Service. Bereits bei VMware Workstation hatte ich das Problem, dass Windows 10 Funktionsupdates mit dem Hypervisor kollidierten. Es wurden Updates von VMware Workstation f\u00e4llig, die irgendwann recht sp\u00e4t kamen. Und bei jedem Versionssprung hie\u00df es zahlen. Aktuell habe ich daher Hyper-V auf einer Maschine unter Windows 10 22H2 Pro laufen. Ist zwar eine Gurke, was die Handhabung betrifft. Aber zumindest l\u00e4sst sich Windows 10 da problemlos installieren. Im Feld werden daher mehr und mehr Administratoren, sofern m\u00f6glich, von VMware ESXi o.\u00e4. zu Hyper-V wechseln. Und wieder ein Monopol mehr.<\/p><\/blockquote>\n

    Erg\u00e4nzung:<\/strong> Das Problem weitet sich auf Windows Server 2022-Installationen auf Bare Metal aus, siehe meinen Folgebeitrag\u00a0Windows Server 2022 Feb. 2023 Patchday: Secure Boot-Problem auch auf Bare-Metal-Systemen!<\/a>.<\/p>\n

    Erg\u00e4nzung 2:<\/strong> Wie bereits in nachfolgenden Kommentaren erw\u00e4hnt, hat VMware am 21. Februar 2023 einen Patch f\u00fcr ESXi 7.0 ver\u00f6ffentlicht. Details finden sich im Blog-Beitrag\u00a0Windows Server 2022: VMware-Patch f\u00fcr Secure Boot-Problem (Feb. 2023)<\/a>. Hilft aber nicht bei ESXi 6.x und bei Bare Metal-Systemen.<\/p>\n

    \u00c4hnliche Artikel:<\/strong>
    \n    Microsoft Security Update Summary (14. Februar 2023)<\/a>
    \n    Patchday: Windows 10-Updates (14. Februar 2023)<\/a>
    \n    Patchday: Windows 11\/Server 2022-Updates (14. Februar 2023)<\/a>
    \n    Windows 7\/Server 2008 R2; Server 2012 R2: Updates (14. Februar 2023)<\/a>
    \n    Patchday: Microsoft Office Updates (14. Februar 2023)<\/a>
    \n    Exchange Server Sicherheitsupdates (14. Februar 2023)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

    [English]Das am 14. Februar 2023 f\u00fcr Windows Server 2022 ver\u00f6ffentlichte Sicherheitsupdate KB5022842 l\u00f6st einen Kollateralschaden aus. Virtuelle Maschinen unter ESXi k\u00f6nnen anschlie\u00dfend nach einem Reboot nicht mehr starten und finden entweder ihre Systemlaufwerke nicht mehr oder l\u00f6sen einen Secure Boot-Fehler … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[185,14,2557],"tags":[24,4328,4315,4299,8283],"class_list":["post-277892","post","type-post","status-publish","format-standard","hentry","category-update","category-virtualisierung","category-windows-server","tag-problem","tag-sicherheit","tag-update","tag-virtualisierung","tag-windows-server-2022"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/277892","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=277892"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/277892\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=277892"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=277892"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=277892"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}