[English]Ich ziehe es mal separat in einem Blog-Beitrag heraus, nachdem mich mehrere Blog-Leser darauf hingewiesen haben. Das März 2024-Sicherheitsupdate vom 12.3.2024 für Windows Server verursacht ein Speicherleck in LSASS (bei allen Windows Server-Varianten), was dann nach einiger Zeit zu Performance-Problemen auf Domain Controllern (DC) führt und diese ggf. ins digitale Nirvana befördert. Hier einige Informationen zu diesem Sachverhalt.
Erster Leserhinweis
Blog-Leser riedenthied hat sich gestern Nachmittag (19.3.2024) in diesem Kommentar gemeldet und berichtete über ein massives Problem auf Domain Controllern nach Installation des März 2024-Sicherheitsupdates.
Es scheint wohl ein Memory Leak in der lsass.exe zu geben, was die Domain Controller über kurz oder lang zum Absturz bringt. […]
Scheint alle Servervarianten zu betreffen, von 2016 bis 2022. Je größer die Umgebung, desto schneller geht es. Ein Statement von Microsoft habe ich noch nicht gelesen, aber mehrere User melden, dass sie Support Tickets bei MS laufen haben.
Deinstallation des März-Updates hilft wohl, aber das werde ich gerade auf den Domain Controllern eher nicht in Erwägung ziehen. Lieber starte ich sie alle paar Tage durch.
Der Leser erwähnte, dass dieser Bug bereits im Blog-Beitrag Exchange Server Sicherheits-Updates (12. März 2024) zum 14. März 2024 in diesem Kommentar durch den Blog-Leser Dreise angesprochen wurde. Ich hatte das sogar gesehen, weil es aber auch auf Windows 11-Clients auftrat bisher nicht separat thematisiert und wollte es weiter beobachten. Seit dem 19.3.2024 schlagen aber die Lesermeldungen bei mir ein, die auf dieses Problem hinweisen.
Diesen Bug in Form eines lsass-Speicherlecks gab es bereits im November 2022, ich hatte das seinerzeit im Blog-Beitrag Windows Server November 2022-Updates verursachen LSASS-Memory Leak thematisiert.
Ein weiterer Leserhinweis
Zum 19. März 2024 haben sich auch Sebastian D. und Christopher G. bei mir per Mail gemeldet und den Fehler berichtet. Sebastian wies darauf hin, dass es im Exchange Forum eine Erkenntnis gebe, dass ggf. die März 2024 Updates von Windows auf den DCs zu einem stetig ansteigenden Speicherverbrauch von Isass führen. Er schrieb:
Im Exchange Forum gibt es eine Erkenntnis, dass ggf. die März Updates von Windows auf den DCs zu einem stetig ansteigenden Speicherverbrauch von lsass sorgen. Einfach mal beim Link nach Isass suchen. Muss nichts Schlimmes am Ende sein. Ggf. melden auch andere die Probleme und ggf. führt es erst nach Zeit X zum Problem.
Christopher hat das Ganze aber in seiner Mail detaillierter beschrieben und gleich Belege für das Speicherleck geliefert. Dazu schrieb mir Christopher:
Guten Tag Herr Born,
seit den aktuellen Windows Updates haben wir unteranderem erhebliche Performance Probleme auf den DCs. Da ich zu dem Thema auch schon in Ihrem Blog (Kommentar von Dreise) andere User entdeckt habe, welche das gleiche Problem haben, wollte ich Sie hierauf mal aufmerksam machen. Ggf. ist das für Sie auch interessant bzw. können Sie mit Ihrer Reichweite vielleicht sogar zu einer Lösung beitragen.
Der Leser schrieb, dass man auch z.B. in der Microsoft Tech Community (gleicher Link zum Exchange-Beitrag wie oben) ähnliche Meldungen zu diesem Problem findet. Ich habe mal den Post nachfolgend herausgezogen.
Christoph beschreibt das Problem so: Seit unsere Domaincontroller (Windows Server 2019) am Wochenende die aktuellen Windows Updates (siehe Bild) installiert haben, laufen diese regelmäßig auf >95% Arbeitsspeicher. Nachfolgender Screenshot zeigt diese Auslastung:
Es handelt sich im konkreten Fall des Lesers um folgendes Update (KB5034768, siehe folgenden Screenshot), aber es sind gemäß obigen Ausführungen wohl alle Windows Server betroffen.
Anmerkung: In nachfolgendem Kommentar weist ein Blog-Leser darauf hin, dass Update KB5034768 aus dem Feb. 2024 ist, siehe. Alle obigen Kommentare sprechen von einem März 2024-Updates als Ursache. Ob es ein Fehler des Lesers war, das Update KB5034768 hier anzugeben, ist unklar – ich frage da nach.
Ergänzung: Der Leser hat sich gemeldet und schrieb „war tatsächlich ein Irrtum. Konnte das ganze aktuell mal testweise nachstellen. Ich habe auf einem DC das Update KB5035849 deinstalliert und auf dem System ist der Fehler heute Morgen nicht mehr aufgetreten. Warum nach der Deinstallation von KB5035849 das Update KB5034768 mit Installationsdatum gestern angezeigt wurde, kann ich nicht erklären. Vermutlich gibt es da eine mir aktuell unbekannte Abhängigkeit.“
Christoph schreibt dazu: „Die dauerhafte Deinstallation der Updates war für uns keine Option und bisher konnte es auch jeweils über einen Neustart vorübergehend gelöst werden. “
Ergänzung: Das Problem wurde durch Microsoft inzwischen bestätigt, siehe Windows Server (Kerberos) LSASS-Memory-Leak durch März 2024-Updates bestätigt.
Ergänzung 2: Es gibt erste Sonderupdates (Out-of-band-Updates), die das Problem beheben, siehe Windows Server: Fix für (Kerberos) LSASS-Memory-Leak durch März 2024-Updates.
Ähnliche Artikel:
Microsoft Security Update Summary (12. März 2024)
Patchday: Windows 10-Updates (12. März 2024)
Patchday: Windows 11/Server 2022-Updates (12. März 2024)
Windows Server 2012 / R2 und Windows 7 (12. März 2024)
Windows 10/Server 2019: Update KB5035849 scheitert mit Fehler 0xd0000034
Windows Server (Kerberos) LSASS-Memory-Leak durch März 2024-Updates bestätig
Windows Server: Fix für (Kerberos) LSASS-Memory-Leak durch März 2024-Updates
Bei uns laufen beide DC`s auch nach dem Update einwandfrei. Keine Störungen zu erkennen. Es werden ca. 120 Rechner verwaltet.
Wir haben so ziemlich die gleiche Dimension an DCs und PCs.
Bis dato keine Probleme (Server 2022).
Wie immer: Vielen Dank für die Berichterstattung!
Kleiner Hinweis
Da hat sich in der Überschrift und im zweiten Satz das falsche Jahr (2023) eingeschlichen.
Aber das Problem kommt mir sehr bekannt vor, da war doch mal was mit lsass und Memory: https://www.borncity.com/blog/2022/11/25/windows-server-november-2022-updates-verursachen-lsass-memory-leak/
Hm, gerade mal nachgeschaut: auf unserem DC (Server 2022) dümpelt lsaas bei 0,1-0,4 % und 108 MB, keine Beeinträchtigung durch’s letzte Update erkennbar …
Kann es sein, daß sich durch den Artikeltext ein Copy-Paste-Fehler zieht?
Soweit ich weiß heißt der Prozeß „LSASS“ (https://en.wikipedia.org/wiki/Local_Security_Authority_Subsystem_Service).
An manchen Stellen steht „ISAAS“. Oder ist von einem anderen Modul die Rede?
LSASS ist auf den Domaincontrollern hier (8 Stück unter Server 2019, gepatcht letzten Freitag) im Moment unauffällig.
Hab die zwei Stellen korrigiert – danke.
Bei uns belegt lsass.exe gleichbleibend ca. 3GB. Performanceprobleme sehe ich aktuell nicht. (Server 2022 mit 32GB Speicher). Danke für den Hinweis.Wir beobachten.
„Es handelt sich im konkreten Fall um folgendes Update von März 2024 (KB5034768), ..“
Das März Update 2024 für Win10/Server2019 ist doch KB5035849 .
KB5034768 ist das Februar Update 2024.
War ein Irrtum, siehe meine Anmerkungen im Text, die ich nachgetragen habe.
ich habe mal bei von mir betreuten Systemen geschaut:
– Server2019 DC, keine weiteren Funktionen, 20 User – LSASS zieht etwa 120MB, letzter Neustart zum Patchday am 15.3.
– Server2016 DC, 5 User. dort liegen auch Shares für Profile und Benutzerverzeichnisse – LSASS zieht knapp 300MB und ich kann zusehen wie es langsam mehr wird.
Der Zugriff auf freigegebene Ordner erfordert ja ständig eine Authentifizierung und wenn da etwas leakt, könnte das die Beobachtung erklären.
Hier alles soweit unauffällig.
3 DCs (2016 u. 2019), alle letzte Woche gepatched.
RAM Auslastung des Dienstes stabil bei 300 – 350MB laut Taskmanager.
Die Beobachtungen bzgl. freigegebener Ordner kann ich bei uns nicht bestätigen, auf den Servern liegen auch Shares die konstant von ~150 Usern im Zugriff sind.
Moin, wir hatten das Problem auch, RAM lief voll. Update deinstalliert, alles wieder normal. Wir haben noch Server 2016 …
Bei uns läuft nachts eine Archivierung von Daten die viele Kerboros Anfragen erzeugt und das hat vermutlich den RAM volllaufen lassen.
Gruß
Hier ebenso unauffällig.
3 DCs (2016 u. 2019), alle letzte Woche gepatched.
RAM Auslastung des Dienstes stabil bei 300 – 350MB laut Taskmanager.
Hälfte unserer DCs hat die März Updates installiert. Diese Hälfte hat LSASS.exe nun mit 3-4GB. Die nicht gepatchte andere Hälfte liegt bei 1-2GB. 10k User 5k Clients
Ich habe die beiden DCs gestern neugestartet. Einer liegt heute schon wieder bei 4 GB, der andere bei 2 GB. Auf dem ersten treibt vor allem der Exchange sein Unwesen und hat wesentlich mehr Verbindungen offen.
Wir haben etwa 2000 Clients/Server und 1500 User.
In zwei anderen sehr kleinen Domänen nimmt sich der Prozess nur 150 MB, also unauffällig. Was aber nicht heißt, dass es da nicht auch langsam zunimmt.
Hier ist davon auf 2x 2016er DCs nichts zu merken. Update ist seit einer Woche drauf, seit dem laufen sie durch, keine Zunahme, RAM-Last wie immer, Lsass.exe bei ca. 500 MB.
Hallo zusammen,
bei meinem physischen 2019er DC und meinem virtuellen 2016er DC keinerlei Probleme.
Hallo zusammen,
unsere beiden DCs sind nun seit knapp 1 Woche auf dem aktuellen Stand, auf Basis des Beitrages hier habe ich mir gerade mal die RAM-Auslastung angesehen.
Der primäre DC läuft wie gewohnt mit 1,6 / 4 GB RAM und der sekundäre DC mit 1,1 / 2 GB RAM.
Also unkritisch und alles wie gehabt.
Es sei aber gesagt, dass es sich hierbei um unter Hyper-V virtualisierte Maschinen handelt mit Server 2019 Datacenter als Core – Installation ohne GUI.
Mittlerweile von MS bestätigt: WI748847, WI748848, WI748849 (Windows issue reports)
Moin,
verstehe ich das richtig, das Problem mit dem März-Update betrifft nur DCs ?
Die Installation des Security-Updates auf Member-Server sollte unproblematisch sein ?
Danke und Gruß.