Windows Server 2012 R2 patch breekt domain controllers en Hyper-V

Windows Server 2012 R2 patch breekt domain controllers en Hyper-V

De meest recente securityupdate voor Windows Server 2012 R2 kan een bootloop veroorzaken in domain controllers die op Windows Server 2012, 2016 en 2019 draaien. Meerdere sysadmins melden dat hun domain controllers sinds de update eindeloos opnieuw opstarten.

De sysadmins kaartten het probleem aan via Reddit en Borncity (securityblog). Microsoft heeft nog niets bevestigd. Volgens de sysadmins lopen domain controllers op Windows Server 2012, 2016 en 2019 vast in een bootloop na het installeren van de meest recente securityupdate voor Windows Server 2012 R2.

Softwaremodule ‘lsass.exe’ triggert een foutmelding, waarna de domain controller automatisch en eindeloos opnieuw opstart. Systemen met Windows Update hebben de securitypatch automatisch ontvangen, wat het probleem voor sommigen onontkoombaar maakt.

Domain controllers en USN rollbacks

Een domain controller is een server die netwerkgebruikers verifieert. Servers met een combinatie van Microsoft Active Directory en Windows Server zijn een populaire vorm.

De bootloop die de securitypatch veroorzaakt is listig. Domain controllers werken zelden alleen. Het is standaard om de database van meerdere domain controllers te synchroniseren, zodat netwerktoegang nooit van een enkele server afhangt. Vandaar kampen meerdere domain controllers met het probleem.

Het is aanlokkelijk om de update ongedaan te maken door een oudere snapshot van de volledige omgeving te installeren, maar dat creëert het risico op een USN rollback. Een USN rollback komt voor wanneer een van de gesynchroniseerde domain controllers op een verouderde versie draait. De synchronisatie tussen de servers stopt, databases wijken af en herstel vergt een behoorlijk proces.

Het is enorm belangrijk om updates en rollbacks van domain controllers te synchroniseren. Zitten alle domain controllers vast in een bootloop, dan is dat makkelijker gezegd dan gedaan.

Een van de getroffen sysadmins loste het probleem op door de update in paren van twee domain controllers terug te draaien. Schakel een van de twee controllers uit, herstel de ander en herhaal het proces om desynchronisatie te vermijden. Dat is, zolang Microsoft het probleem niet adresseert, de beste optie die je hebt.

Hyper-V en Microsoft Exchange

Domain controllers zijn niet de enige toepassingen die door de patch worden geraakt. Een sysadmin van Exchange 2016 servers op Windows Server 2012 R2 meldt dat de update alle ReFS volumes naar RAW wijzigde. Meerdere sysadmins lieten aan BleepingComputer (website) weten dat Hyper-V niet langer opstart op servers die op de OS draaien.