Zurück zur Startseite

Windows Server-Patch verursachte Domänencontroller-Ausfall

April-Patch KB5082063 für Windows Server behob das Problem der spontanen Updates, verursachte jedoch einen kritischen Ausfall von Domänencontrollern in PAM-Umgebungen. Server geraten aufgrund eines LSASS-Fehlers in eine Neustart-Schleife, was Authentifizierungs- und Verzeichnisdienste stört. Microsoft bietet eine vorübergehende Lösung und verspricht, einen vollständigen Fix zu veröffentlichen.

Kritischer Domänencontroller-Ausfall nach Installation des Microsoft-Patches
Advertisement 728x90

April-Patch für Windows Server behebt alten Fehler, verursacht aber Absturz von Domänencontrollern

Microsoft hat das kumulative Update KB5082063 für Windows Server im April veröffentlicht, das das Problem behebt, dass Server ungefragt auf Windows Server 2025 aktualisiert werden. Allerdings brachte der Patch einen neuen kritischen Fehler mit sich, der Domänencontroller in Umgebungen mit Privileged Access Management (PAM) betrifft. Server ohne globale Katalogrolle (Non-GC DC) können nach der Installation des Patches aufgrund eines LSASS-Prozessfehlers in eine Neustartschleife geraten, wodurch Authentifizierungs- und Verzeichnisdienste nicht mehr verfügbar sind.

Geschichte des erzwungenen Upgrade-Problems

Seit Ende 2024 sahen sich Administratoren von Windows Server 2019 und 2022 mit unerwarteten Upgrades auf Windows Server 2025 ohne ihre Zustimmung konfrontiert. Microsoft führte dies auf eine falsche Klassifizierung des Updatepakets durch Drittanbieter-Updateverwaltungssysteme zurück. Viele IT-Profis berichteten jedoch auch in Abwesenheit solcher Systeme von Vorfällen. Die offizielle Position des Unternehmens blieb unverändert, und erst im April 2026 wurde der Status des Problems auf "gelöst" geändert.

Neuer Absturz von Domänencontrollern

Das Update KB5082063, das das alte Problem beheben sollte, verursachte einen kritischen Fehler in Umgebungen mit mehreren Domänen in einer Gesamtstruktur, in denen PAM verwendet wird. Nach der Installation des Updates erleiden Server ohne globale Katalogrolle einen LSASS-Fehler beim Start, was zu einer unendlichen Neustartschleife führt. Dadurch werden Authentifizierungs- und Verzeichnisdienste unmöglich, und im schlimmsten Fall wird die gesamte Domäne unerreichbar.

Google AdInline article slot

Temporäre Maßnahmen und Warten auf einen Fix

Microsoft hat das Problem bestätigt und erklärt, dass es nur Serversysteme betrifft. Eine temporäre Lösung ist über den Microsoft-Support für Unternehmen verfügbar. Ein vollständiger Fix wird in den kommenden Tagen erwartet. Administratoren wird empfohlen, vorerst von der Installation von KB5082063 auf kritischen Domänencontrollern abzusehen, insbesondere in PAM-Umgebungen.

Wichtige Punkte

  • KB5082063 verursacht einen LSASS-Absturz auf Domänencontrollern ohne globale Katalogrolle in PAM-Umgebungen.
  • Server geraten in eine Neustartschleife, Authentifizierungs- und Verzeichnisdienste funktionieren nicht mehr.
  • Microsoft bietet eine temporäre Lösung über den Support an; ein vollständiger Patch wird in den kommenden Tagen erwartet.
  • Administratoren sollten die Installation des Updates auf betroffenen Systemen verschieben, bis der Fix veröffentlicht wird.

Kontext und Auswirkungen

Diese Situation verdeutlicht die Risiken, die mit Updates der Serverinfrastruktur verbunden sind. Die langwierige Behebung eines Problems führte zu einem anderen, ebenso schwerwiegenden Problem. Für Organisationen, die PAM verwenden, bedeutet dies die Notwendigkeit gründlicher Patch-Tests vor der Bereitstellung. Der Vorfall zeigt auch die Komplexität der Aufrechterhaltung der Update-Kompatibilität in Umgebungen mit mehreren Domänen.

— Editorial Team

Google AdInline article slot
Advertisement 728x90

Weiterlesen