Vorsicht Januar-Updates bei Domain Controllern -> Bootschleife

[zahni 587]

Und wieder hat MS nichts gelernt. Tests sind aufwendig und komplex, brauchen Zeit und Ressourcen...

 

https://www.borncity.com/blog/2022/01/12/windows-server-januar-2022-sicherheitsupdates-verursachen-boot-schleife/

 

  Zitat

Administratoren von Windows Domain Controllern sollten mit der Installation der Sicherheitsupdates von Januar 2022 vorsichtig sein. Mir liegen inzwischen zahlreiche Berichte vor, dass die Windows Server, die als Domain Controller fungieren, anschließend nicht mehr booten. Lsass.exe (oder wininit.exe) löst einen Blue Screen mit dem Stopp-Fehler 0xc0000005 aus. Es kann nach meiner Einschätzung alle Windows Server-Versionen, die als Domain Controller fungieren treffen.

Mehr  

 

[NorbertFe 2.277]

  Am 12.1.2022 um 12:02 schrieb zahni:

Test sind aufwendig und komplex, brauchen Zeit und Ressourcen...

Mehr  

Wieso? Es wird doch grad aufwendig getestet. :)

[Marco31 37]

Nur noch peinlich was MS da so liefert... Habe mir schon angewöhnt am Patchday erstmal hier und in Born's IT Blog auf Kommentare zu warten, hat mir heute mal wieder den A... gerettet.

[mwiederkehr 395]

Danke für den Link, hat mir wohl Ärger erspart! Am 1. Januar gleich ein Jahr-2022-Problem beim Exchange, jetzt wieder fehlerhafte Updates... Microsoft scheint seine Kunden immer aggressiver von den Vorteilen der Cloud überzeugen zu wollen.

[NorbertFe 2.277]

  Am 12.1.2022 um 16:35 schrieb mwiederkehr:

Danke für den Link, hat mir wohl Ärger erspart!

Mehr  

Wäre ja die Frage, ob das bei jedem und überall auftritt. ;)

[Marco31 37]

  Am 12.1.2022 um 16:36 schrieb NorbertFe:

Wäre ja die Frage, ob das bei jedem und überall auftritt. ;)

Mehr  

Das möchte ich erstmal nicht testen 

[NorbertFe 2.277]

Vorwärts, ich komm hinterher. :p

[mwiederkehr 395]

  Am 12.1.2022 um 16:36 schrieb NorbertFe:

Wäre ja die Frage, ob das bei jedem und überall auftritt. ;)

Mehr  

Laut „Quelle: Internet“ sollen die Probleme nur bei virtuellen DCs auftreten. Endlich eine Bestätigung für die viel gehörte Aussage „immer einen physischen DC betreiben“.

 

Ich würde aber schon gerne mal von einem Insider erfahren, wie Updates bei Microsoft getestet werden und wie es trotzdem zu solchen Problemen kommen kann. In meiner Vorstellung laufen da tausende Unit Tests, aber da dürften solche Sachen oder auch das Jahr-2022-Problem bei Exchange nicht auftreten, oder die Druckprobleme oder das L2TP-Problem. Ich sollte ja nicht den ersten Stein werfen, da ich auch schon Software frisch aus dem Compiler verteilt habe, aber im Gegensatz zu den Entwicklern bei Microsoft hatte ich den Kunden anschliessend selbst am Telefon. (Der DevOps-Hype kommt bekanntlich davon, dass es erzieherisch auf Entwickler wirkt, wenn sie ihre Kreationen selbst betreiben müssen.)

[Marco31 37]

Wenn's so wäre dann wäre ja noch interessant ob's nur Hyper-V guest DCs betrifft oder auch unter VMware

[cj_berlin 1.508]

  Am 12.1.2022 um 18:58 schrieb Marco31:

Wenn's so wäre dann wäre ja noch interessant ob's nur Hyper-V guest DCs betrifft oder auch unter VMware

Mehr  

In meinem Lab hat es von den >20 vorhandenen DCs auf beiden Plattformen keinen einzigen betroffen.

[zahni 587]

Man könnte spekulieren, dass LDAP-Zugriffe die DC's aus den Tritt bringen. LDAP wird vielleicht nicht in jeder Umgebung verwendet oder zumindest nicht mit Fremdanwendungen.

Bei Borncity gehen die Kommentare ja auch auseinander.

 

Oder es liegt am aktuellen Function Level der Domaine. Könnte auch Auswirkungen auf diesen LDAP-Fix haben. Bei 2012R2 scheint es seht häufig aufzutreten, bei 2016/2019 wohl nicht so häufig. 

Günter Born hat es jetzt auch bei Heise geschrieben:

 

https://www.heise.de/news/Sicherheitsupdates-vom-Januar-2022-mit-massiven-Kollateralschaeden-in-Windows-6325265.html

 

Wer wettet mit mir, dass zumindest ein Teil der Updates über Nacht zurückgezogen werden?

bearbeitet 12. Januar 2022 von zahni

[Gulp 290]

Meine virtuellen 2022 DC's im Lab haben es jedenfalls ohne Auffälligkeiten überstanden, alles schick, keine Bootloops weder beim Hypervisor, noch bei den VM's .......

 

Grüsse

 

Gulp

bearbeitet 12. Januar 2022 von Gulp

[zahni 587]

Quelle für mich: Die Kommentare beim Borncity, ursprünglich https://www.reddit.com/r/sysadmin/comments/s1jcue/patch_tuesday_megathread_20220112/?sort=new

 

 

  Zitat

Discord WinAdmins #windows-server channel has this to say

Support has responded. Apparently this is now a known issue that will be addressed in a future patch. For now, they've advised: Until a fix exists, temporarily avoid setting PacRequestorEnforcement = 2 (set as 1). Enforcing PAC hardening will cause the password change scenario. Setting PacRequestorEnforcement to ‘1’ is about as secure as ‘2’ if all DCs in an environment have been patched for more than 7 days. The main difference between ‘1’ and ‘2’ is that for ‘1’ all security checks are done if the new Pac buffers are available, whereas ‘2’ requires the buffers to be available.

Mehr  

 

Das Seltsame ist: Wir haben die Updates vom November installiert. Es gibt aber den Registry-Key nicht.

Andere User schreiben, dass der Fehler erst dann auftritt, wenn ein DC mit einem anderen DC repliziert.

[Marco31 37]

  Am 13.1.2022 um 13:37 schrieb zahni:

Quelle für mich: Die Kommentare beim Borncity, ursprünglich https://www.reddit.com/r/sysadmin/comments/s1jcue/patch_tuesday_megathread_20220112/?sort=new

Mehr  

Also der Thread lehrt einen wirklich das Fürchten... Und kein Wort bisher von MS, das ist schon mehr als grenzwertig...

[zahni 587]

Lt Reddit wurden die Updates von Windows Update entfernt:

 

  Zitat

Updates were pulled for 2012, 2016, and 2019 from Microsoft Update.

Patches are still showing in WSUS however.

Mehr  

Ich kann es leider nicht nachprüfen.