April Patchday auf Windows Server 2025 Domain Controllern

[testperson 1.988]

Moin,

 

es gibt einen Known Issue für Windows Server 2025 DCs. Generell gibt es wohl mit dem Update Probleme, wenn man das PAM Feature nutzt. Kann aber wohl auch auftreten, wenn bei neuen / bestehenden DCs "zu früh" Authentifizierungsanfragen gestellt werden: Windows Server 2025 known issues and notifications | Microsoft Learn

 

Zitat

 

After installing the April 2026 Windows security update (KB5082063) and rebooting, non‑Global Catalog (non‑GC) domain controllers (DCs) in environments that use Privileged Access Management (PAM), might experience LSASS crashes during startup. As a result, affected DCs may restart repeatedly, preventing authentication and directory services from functioning, and potentially rendering the domain unavailable.

 

In some environments, this issue can also occur when setting up a new domain controller, or on existing DCs if authentication requests are processed very early during startup. 

 

 

HTH

Jan

bearbeitet 17. April von testperson

[cj_berlin 1.578]

Moin,

 

danke für das Heads-Up, 2025 als DC ist immer noch wie eine Schachtel Pralinen  

 

Jetzt könnte man natürlich eine Umfrage starten, wer noch DCs ohne GC im großen Stil betreibt, und ich würde mal mutmaßen, dass es gerade nicht die Organisationen sind, die vorpreschen, um alles auf 2025 anzuheben. Aber dennoch, das Testen zersetzt sich in Redmond quasi vor unseren Augen...

[testperson 1.988]

In dem fett-geschriebenen Part bzw. zweiten Absatz bin ich mir unsicher, ob und welche "Bedingung(en)" aus dem ersten Absatz gelten.

[MurdocX 1.059]

Man kann Patchen, dann hat man ein Problem weniger, oder man hat evtl. ein Neues. Qual der Wahl. 

Zitat

Ausnutzung eher wahrscheinlich: CVE-2026-33826 - Windows Active Directory Remote Code Execution Vulnerability (CVSS-Score: 8.0/10) [MSRC26c]: Eine unzureichende Eingabevalidierung soll es einem nicht administrativen Angreifer innerhalb derselben Active-Directory-Domäne erlauben, Code auf einem Zielsystem auszuführen. Zur Ausnutzung der Schwachstelle muss der Angreifer einen speziell gestalteten RPC-Aufruf an einen RPC-Host senden. Dies könnte zur Codeausführung aus der Ferne auf der Serverseite mit denselben Berechtigungen wie der RPC-Dienst führen. Üblicherweise müsste der Angreifer bereits ein anderes Gerät in der Domäne kompromittiert haben und diese Schwachstelle zur weiteren Ausbreitung in der Domäne nutzen. Betroffen ist die gesamte Windows-Server-Produktlinie ab Windows Server 2012 R2

 

 

@testperson

Ich habe mich beim Lesen an deinen Thread erinnert. Laut dem Changelog, wurde mit dem Update für Server 2025 auch das CmdLet korrigiert. Vielleicht eine Möglichkeit nochmal zu Testen  

 

Quelle: https://support.microsoft.com/de-de/topic/14-april-2026-kb5082063-betriebssystembuild-26100-32690-c57e289d-27c9-47cd-a183-72fabc62c5d7

Zitat

[PowerShell] Dieses Update verbessert, wie das Cmdlet Set-GPPrefRegistryValue in PowerShell Registrierungspräferenzwerte importiert. Das Cmdlet behält jetzt jeden importierten Wert vollständig bei, einschließlich des letzten Zeichens.

 

 

[testperson 1.988]

Microsoft hat gestern ein OOB für den Known Issue veröffentlicht: April 19, 2026—KB5091157 (OS Build 26100.32698) Out-of-band - Microsoft Support

Zitat

[Domain controllers (known issue)] Fixed: After installing the April 14, 2026, Windows security update (KB5082063) and restarting, domain controllers with multi-domain forests that use Privileged Access Management (PAM), might experience startup issues. In some cases, Local Security Authority Subsystem Service (LSASS) might stop responding, leading to repeated restarts, and preventing authentication and directory services, which can make the domain unavailable.

 

 

[MurdocX 1.059]

Ich habe bisher 2019 & 2022 DCs das Update installiert.

 

Nur bei einem DC (2022) gab nach der Installation ein Rollback mit Fehlermeldung 0x800f0923. Danach ging der Server in den "Abgesicherten Modus". Spannend war, dass es nicht der Abgesicherte Modus für den Server, sondern für das Active Directory war. Der Server hatte in den Reparatur-Modus gebootet.

 

Meine Lösung:

msconfig.exe -> Start -> Haken bei "Abesicherter Start" entfernen.
-> Neustart

dism /online /cleanup-image /StartComponentCleanup
dism /online /cleanup-image /RestoreHealth
sfc.exe /scannow

+2x Neustart.

Update installiert -> erfolgreich

 

Ich vermute die Lösung liegt im "/StartComponentCleanup", da ein ursprüngliches "/RestoreHealth" nicht geholfen hatte.

 

Neustarts nach den Updates habe ich bei noch keinem DC beobachtet. (wir haben auch keinen ohne GC)  

bearbeitet 20. April von MurdocX
Anpassungen