Jump to content

Vorsicht Januar-Updates bei Domain Controllern -> Bootschleife


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Und wieder hat MS nichts gelernt. Tests sind aufwendig und komplex, brauchen Zeit und Ressourcen...

 

https://www.borncity.com/blog/2022/01/12/windows-server-januar-2022-sicherheitsupdates-verursachen-boot-schleife/

 

Zitat

Administratoren von Windows Domain Controllern sollten mit der Installation der Sicherheitsupdates von Januar 2022 vorsichtig sein. Mir liegen inzwischen zahlreiche Berichte vor, dass die Windows Server, die als Domain Controller fungieren, anschließend nicht mehr booten. Lsass.exe (oder wininit.exe) löst einen Blue Screen mit dem Stopp-Fehler 0xc0000005 aus. Es kann nach meiner Einschätzung alle Windows Server-Versionen, die als Domain Controller fungieren treffen.

 

Link zu diesem Kommentar
vor einer Stunde schrieb NorbertFe:

Wäre ja die Frage, ob das bei jedem und überall auftritt. ;)

Laut „Quelle: Internet“ sollen die Probleme nur bei virtuellen DCs auftreten. Endlich eine Bestätigung für die viel gehörte Aussage „immer einen physischen DC betreiben“. :D

 

Ich würde aber schon gerne mal von einem Insider erfahren, wie Updates bei Microsoft getestet werden und wie es trotzdem zu solchen Problemen kommen kann. In meiner Vorstellung laufen da tausende Unit Tests, aber da dürften solche Sachen oder auch das Jahr-2022-Problem bei Exchange nicht auftreten, oder die Druckprobleme oder das L2TP-Problem. Ich sollte ja nicht den ersten Stein werfen, da ich auch schon Software frisch aus dem Compiler verteilt habe, aber im Gegensatz zu den Entwicklern bei Microsoft hatte ich den Kunden anschliessend selbst am Telefon. :-) (Der DevOps-Hype kommt bekanntlich davon, dass es erzieherisch auf Entwickler wirkt, wenn sie ihre Kreationen selbst betreiben müssen.)

Link zu diesem Kommentar

Man könnte spekulieren, dass LDAP-Zugriffe die DC's aus den Tritt bringen. LDAP wird vielleicht nicht in jeder Umgebung verwendet oder zumindest nicht mit Fremdanwendungen.

Bei Borncity gehen die Kommentare ja auch auseinander.

 

Oder es liegt am aktuellen Function Level der Domaine. Könnte auch Auswirkungen auf diesen LDAP-Fix haben. Bei 2012R2 scheint es seht häufig aufzutreten, bei 2016/2019 wohl nicht so häufig. 

Günter Born hat es jetzt auch bei Heise geschrieben:

 

https://www.heise.de/news/Sicherheitsupdates-vom-Januar-2022-mit-massiven-Kollateralschaeden-in-Windows-6325265.html

 

Wer wettet mit mir, dass zumindest ein Teil der Updates über Nacht zurückgezogen werden?

bearbeitet von zahni
Link zu diesem Kommentar

Quelle für mich: Die Kommentare beim Borncity, ursprünglich https://www.reddit.com/r/sysadmin/comments/s1jcue/patch_tuesday_megathread_20220112/?sort=new

 

 

Zitat

Discord WinAdmins #windows-server channel has this to say

Support has responded. Apparently this is now a known issue that will be addressed in a future patch. For now, they've advised: Until a fix exists, temporarily avoid setting PacRequestorEnforcement = 2 (set as 1). Enforcing PAC hardening will cause the password change scenario. Setting PacRequestorEnforcement to ‘1’ is about as secure as ‘2’ if all DCs in an environment have been patched for more than 7 days. The main difference between ‘1’ and ‘2’ is that for ‘1’ all security checks are done if the new Pac buffers are available, whereas ‘2’ requires the buffers to be available.

 

Das Seltsame ist: Wir haben die Updates vom November installiert. Es gibt aber den Registry-Key nicht.

Andere User schreiben, dass der Fehler erst dann auftritt, wenn ein DC mit einem anderen DC repliziert.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...