{"id":293554,"date":"2024-03-20T07:20:22","date_gmt":"2024-03-20T06:20:22","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=293554"},"modified":"2024-03-23T06:49:03","modified_gmt":"2024-03-23T05:49:03","slug":"windows-server-mrz-2023-update-verursacht-lsass-memory-leak-auf-dcs","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/03\/20\/windows-server-mrz-2023-update-verursacht-lsass-memory-leak-auf-dcs\/","title":{"rendered":"Windows Server: März 2024-Update verursacht LSASS Memory-Leak auf DCs"},"content":{"rendered":"

\"Windows\"[English<\/a>]Ich ziehe es mal separat in einem Blog-Beitrag heraus, nachdem mich mehrere Blog-Leser darauf hingewiesen haben. Das M\u00e4rz 2024-Sicherheitsupdate vom 12.3.2024 f\u00fcr Windows Server verursacht ein Speicherleck in LSASS (bei allen Windows Server-Varianten), was dann nach einiger Zeit zu Performance-Problemen auf Domain Controllern (DC) f\u00fchrt und diese ggf. ins digitale Nirvana bef\u00f6rdert. Hier einige Informationen zu diesem Sachverhalt.<\/p>\n

<\/p>\n

Erster Leserhinweis<\/h2>\n

\"\"Blog-Leser riedenthied<\/cite> hat sich gestern Nachmittag (19.3.2024) in diesem Kommentar<\/a> gemeldet und berichtete \u00fcber ein massives Problem auf Domain Controllern nach Installation des M\u00e4rz 2024-Sicherheitsupdates.<\/p>\n

Es scheint wohl ein Memory Leak in der lsass.exe<\/em> zu geben, was die Domain Controller \u00fcber kurz oder lang zum Absturz bringt. […]<\/p>\n

Scheint alle Servervarianten zu betreffen, von 2016 bis 2022. Je gr\u00f6\u00dfer die Umgebung, desto schneller geht es. Ein Statement von Microsoft habe ich noch nicht gelesen, aber mehrere User melden, dass sie Support Tickets bei MS laufen haben.<\/p>\n

Deinstallation des M\u00e4rz-Updates hilft wohl, aber das werde ich gerade auf den Domain Controllern eher nicht in Erw\u00e4gung ziehen. Lieber starte ich sie alle paar Tage durch.<\/p><\/blockquote>\n

Der Leser erw\u00e4hnte, dass dieser Bug bereits im Blog-Beitrag Exchange Server Sicherheits-Updates (12. M\u00e4rz 2024)<\/a> zum 14. M\u00e4rz 2024 in diesem Kommentar<\/a> durch den Blog-Leser Dreise angesprochen wurde. Ich hatte das sogar gesehen, weil es aber auch auf Windows 11-Clients auftrat bisher nicht separat thematisiert und wollte es weiter beobachten. Seit dem 19.3.2024 schlagen aber die Lesermeldungen bei mir ein, die auf dieses Problem hinweisen.<\/p>\n

Diesen Bug in Form eines lsass-Speicherlecks gab es bereits im November 2022, ich hatte das seinerzeit im Blog-Beitrag Windows Server November 2022-Updates verursachen LSASS-Memory Leak<\/a> thematisiert.<\/p><\/blockquote>\n

Ein weiterer Leserhinweis<\/h2>\n

Zum 19. M\u00e4rz 2024 haben sich auch Sebastian D. und Christopher G. bei mir per Mail gemeldet und den Fehler berichtet. Sebastian wies darauf hin, dass es im Exchange Forum eine Erkenntnis gebe<\/a>, dass ggf. die M\u00e4rz 2024 Updates von Windows auf den DCs zu einem stetig ansteigenden Speicherverbrauch von Isass f\u00fchren. Er schrieb:<\/p>\n

Im Exchange Forum gibt es eine Erkenntnis, dass ggf. die M\u00e4rz Updates von Windows auf den DCs zu einem stetig ansteigenden Speicherverbrauch von lsass sorgen. Einfach mal beim Link nach Isass suchen. Muss nichts Schlimmes am Ende sein. Ggf. melden auch andere die Probleme und ggf. f\u00fchrt es erst nach Zeit X zum Problem.<\/p><\/blockquote>\n

Christopher hat das Ganze aber in seiner Mail detaillierter beschrieben und gleich Belege f\u00fcr das Speicherleck geliefert.\u00a0 Dazu schrieb mir Christopher:<\/p>\n

Guten Tag Herr Born,<\/p>\n

seit den aktuellen Windows Updates haben wir unteranderem erhebliche Performance Probleme auf den DCs. Da ich zu dem Thema auch schon in Ihrem Blog\u00a0 (Kommentar von Dreise<\/a>) andere User entdeckt habe, welche das gleiche Problem haben, wollte ich Sie hierauf mal aufmerksam machen. Ggf. ist das f\u00fcr Sie auch interessant bzw. k\u00f6nnen Sie mit Ihrer Reichweite vielleicht sogar zu einer L\u00f6sung beitragen.<\/p><\/blockquote>\n

Der Leser schrieb, dass man auch z.B. in der Microsoft Tech Community (gleicher Link zum Exchange-Beitrag wie oben<\/a>) \u00e4hnliche Meldungen zu diesem Problem findet. Ich habe mal den Post nachfolgend herausgezogen.<\/p>\n

\"Memory<\/a>
\nZum Vergr\u00f6\u00dfern klicken<\/a><\/p>\n

Christoph beschreibt das Problem so: Seit unsere Domaincontroller (Windows Server 2019) am Wochenende die aktuellen Windows Updates (siehe Bild) installiert haben, laufen diese regelm\u00e4\u00dfig auf >95% Arbeitsspeicher. Nachfolgender Screenshot zeigt diese Auslastung:<\/p>\n

\"Memory<\/p>\n

Es handelt sich im konkreten Fall des Lesers um folgendes Update (KB5034768, siehe folgenden Screenshot), aber es sind gem\u00e4\u00df obigen Ausf\u00fchrungen wohl alle Windows Server betroffen.<\/p>\n

\"Update<\/a><\/p>\n

Anmerkung:<\/strong> In nachfolgendem Kommentar weist ein Blog-Leser darauf hin, dass Update KB5034768\u00a0 aus dem Feb. 2024 ist, siehe<\/a>. Alle obigen Kommentare sprechen von einem M\u00e4rz 2024-Updates als Ursache. Ob es ein Fehler des Lesers war, das Update KB5034768 hier anzugeben, ist unklar – ich frage da nach.<\/p>\n

Erg\u00e4nzung:<\/strong> Der Leser hat sich gemeldet und schrieb \"war tats\u00e4chlich ein Irrtum. Konnte das ganze aktuell mal testweise nachstellen. Ich habe auf einem DC das Update KB5035849 deinstalliert und auf dem System ist der Fehler heute Morgen nicht mehr aufgetreten. Warum nach der Deinstallation von KB5035849 das Update KB5034768 mit Installationsdatum gestern angezeigt wurde, kann ich nicht erkl\u00e4ren. Vermutlich gibt es da eine mir aktuell unbekannte Abh\u00e4ngigkeit.\"<\/p><\/blockquote>\n

Christoph schreibt dazu: \"Die dauerhafte Deinstallation der Updates war f\u00fcr uns keine Option und bisher konnte es auch jeweils \u00fcber einen Neustart vor\u00fcbergehend gel\u00f6st werden. \"<\/p>\n

Erg\u00e4nzung:<\/strong> Das Problem wurde durch Microsoft inzwischen best\u00e4tigt, siehe\u00a0Windows Server (Kerberos) LSASS-Memory-Leak durch M\u00e4rz 2024-Updates best\u00e4tigt<\/a>.<\/p>\n

Erg\u00e4nzung 2:<\/strong> Es gibt erste Sonderupdates (Out-of-band-Updates), die das Problem beheben, siehe\u00a0Windows Server: Fix f\u00fcr (Kerberos) LSASS-Memory-Leak durch M\u00e4rz 2024-Updates<\/a>.<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Microsoft Security Update Summary (12. M\u00e4rz 2024)<\/a>
\nPatchday: Windows 10-Updates (12. M\u00e4rz 2024)<\/a>
\nPatchday: Windows 11\/Server 2022-Updates (12. M\u00e4rz 2024)<\/a>
\nWindows Server 2012 \/ R2 und Windows 7 (12. M\u00e4rz 2024)<\/a><\/p>\n

Windows 10\/Server 2019: Update KB5035849 scheitert mit Fehler 0xd0000034<\/a>
\nWindows Server (Kerberos) LSASS-Memory-Leak durch M\u00e4rz 2024-Updates best\u00e4tig<\/a>
\nWindows Server: Fix f\u00fcr (Kerberos) LSASS-Memory-Leak durch M\u00e4rz 2024-Updates<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Ich ziehe es mal separat in einem Blog-Beitrag heraus, nachdem mich mehrere Blog-Leser darauf hingewiesen haben. Das M\u00e4rz 2024-Sicherheitsupdate vom 12.3.2024 f\u00fcr Windows Server verursacht ein Speicherleck in LSASS (bei allen Windows Server-Varianten), was dann nach einiger Zeit zu Performance-Problemen … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7862,185,2557],"tags":[8462,24,4315,4364],"class_list":["post-293554","post","type-post","status-publish","format-standard","hentry","category-stoerung","category-update","category-windows-server","tag-patchday-3-2024","tag-problem","tag-update","tag-windows-server"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/293554","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=293554"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/293554\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=293554"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=293554"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=293554"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}