Jump to content

Vorsicht Januar-Updates bei Domain Controllern -> Bootschleife


zahni

Recommended Posts

Und wieder hat MS nichts gelernt. Tests sind aufwendig und komplex, brauchen Zeit und Ressourcen...

 

https://www.borncity.com/blog/2022/01/12/windows-server-januar-2022-sicherheitsupdates-verursachen-boot-schleife/

 

Zitat

Administratoren von Windows Domain Controllern sollten mit der Installation der Sicherheitsupdates von Januar 2022 vorsichtig sein. Mir liegen inzwischen zahlreiche Berichte vor, dass die Windows Server, die als Domain Controller fungieren, anschließend nicht mehr booten. Lsass.exe (oder wininit.exe) löst einen Blue Screen mit dem Stopp-Fehler 0xc0000005 aus. Es kann nach meiner Einschätzung alle Windows Server-Versionen, die als Domain Controller fungieren treffen.

 

Link to comment
vor einer Stunde schrieb NorbertFe:

Wäre ja die Frage, ob das bei jedem und überall auftritt. ;)

Laut „Quelle: Internet“ sollen die Probleme nur bei virtuellen DCs auftreten. Endlich eine Bestätigung für die viel gehörte Aussage „immer einen physischen DC betreiben“. :D

 

Ich würde aber schon gerne mal von einem Insider erfahren, wie Updates bei Microsoft getestet werden und wie es trotzdem zu solchen Problemen kommen kann. In meiner Vorstellung laufen da tausende Unit Tests, aber da dürften solche Sachen oder auch das Jahr-2022-Problem bei Exchange nicht auftreten, oder die Druckprobleme oder das L2TP-Problem. Ich sollte ja nicht den ersten Stein werfen, da ich auch schon Software frisch aus dem Compiler verteilt habe, aber im Gegensatz zu den Entwicklern bei Microsoft hatte ich den Kunden anschliessend selbst am Telefon. :-) (Der DevOps-Hype kommt bekanntlich davon, dass es erzieherisch auf Entwickler wirkt, wenn sie ihre Kreationen selbst betreiben müssen.)

  • Like 1
Link to comment

Man könnte spekulieren, dass LDAP-Zugriffe die DC's aus den Tritt bringen. LDAP wird vielleicht nicht in jeder Umgebung verwendet oder zumindest nicht mit Fremdanwendungen.

Bei Borncity gehen die Kommentare ja auch auseinander.

 

Oder es liegt am aktuellen Function Level der Domaine. Könnte auch Auswirkungen auf diesen LDAP-Fix haben. Bei 2012R2 scheint es seht häufig aufzutreten, bei 2016/2019 wohl nicht so häufig. 

Günter Born hat es jetzt auch bei Heise geschrieben:

 

https://www.heise.de/news/Sicherheitsupdates-vom-Januar-2022-mit-massiven-Kollateralschaeden-in-Windows-6325265.html

 

Wer wettet mit mir, dass zumindest ein Teil der Updates über Nacht zurückgezogen werden?

Edited by zahni
Link to comment

Quelle für mich: Die Kommentare beim Borncity, ursprünglich https://www.reddit.com/r/sysadmin/comments/s1jcue/patch_tuesday_megathread_20220112/?sort=new

 

 

Zitat

Discord WinAdmins #windows-server channel has this to say

Support has responded. Apparently this is now a known issue that will be addressed in a future patch. For now, they've advised: Until a fix exists, temporarily avoid setting PacRequestorEnforcement = 2 (set as 1). Enforcing PAC hardening will cause the password change scenario. Setting PacRequestorEnforcement to ‘1’ is about as secure as ‘2’ if all DCs in an environment have been patched for more than 7 days. The main difference between ‘1’ and ‘2’ is that for ‘1’ all security checks are done if the new Pac buffers are available, whereas ‘2’ requires the buffers to be available.

 

Das Seltsame ist: Wir haben die Updates vom November installiert. Es gibt aber den Registry-Key nicht.

Andere User schreiben, dass der Fehler erst dann auftritt, wenn ein DC mit einem anderen DC repliziert.

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...