Endlos-Neustart: Microsoft bestätigt Problem nach Windows Patch-Day

Microsoft warnt vor einem schwerwiegenden Fehler nach dem April-Patch-Day. Nach dem Installieren der Sicherheitspakete KB5082063 und KB5082142 können bestimmte Domain-Controller (DCs) in Endlos-Neustart-Schleifen geraten.

Microsoft warnt vor schwerwiegendem Fehler

Damit können Authentifizierung sowie Active-Directory-Dienste lahmgelegt werden. KB5082063 und KB5082142 betreffen nur Windows Server-Systeme. Wir hatten von dem Verdacht, dass diese Updates fehlerhaft sind, bereits berichtet.

Der Bug betrifft sogenannte "non-Global Catalog-Domain-Controller" in Umgebungen, in denen Microsofts Privileged Access Management (PAM) genutzt wird. Nach dem Neustart nach dem April-Update kann der Local Security Authority Server Service (LSASS) beim Systemstart abstürzen, wodurch Windows den Server immer wieder neu startet.


In solchen Fällen stehen Authentifizierung und Verzeichnisdienste nicht mehr stabil zur Verfügung; im Extremfall kann die gesamte Domäne für Anwender vorübergehend nicht erreichbar sein.

Hintergrund: LSASS und PAM im Unternehmen

LSASS ist ein zentraler Windows-Dienst, der jede Anmeldung - lokal oder über das Netzwerk - prüft und lokale Sicherheitsrichtlinien durchsetzt. PAM ist ein Framework, mit dem Admins privilegierte Zugänge in einer separaten, möglichst nicht-internetverbundenen Active-Directory-Umgebung zusätzlich abschotten können. Gerade in solchen besonders gesicherten Umgebungen tritt der beschriebene Konflikt zwischen dem April-Update und LSASS auf, weshalb vor allem größere Firmen und Rechenzentren betroffen sein können.

Welche Server sind betroffen?

Laut Microsoft-Dokumentation betreffen die Hinweise vor allem Windows-Server-Versionen wie Windows Server 2025, 2022, 23H2, 2019 und 2016. Client-Systeme wie Windows 10 oder Windows 11 sollen von diesem speziellen DC-Reboot-Problem nicht betroffen sein. Der Fehler kann sowohl bei bestehenden als auch bei neu aufgesetzten Domain-Controllern auftreten, wenn sehr früh nach dem Start schon Authentifizierungsanfragen eingehen.

Microsoft arbeitet derzeit an der Behebung dieses Problems und wird in den nächsten Tagen eine Lösung veröffentlichen.

Microsoft hat bislang keine automatische Problembehebung veröffentlicht. IT-Verantwortliche sollen sich an Microsoft Support wenden, um ein vorübergehendes Abhilfepaket zu erhalten, das sich sowohl auf Server anwenden lässt, die das April-Update bereits installiert haben, als auch auf Systeme, auf denen das Update noch nicht durchgeführt wurde.

Mehrere Bugs im April

Der Restart-Bug ist zudem nicht der einzige Störfall des April-Patch-Dienstags: Zu den gleichen Updates für Windows 11 (KB5083769 und KB5082052) hat Microsoft bereits bekannt gegeben, dass unter bestimmten BitLocker-Gruppenrichtlinien-Konfigurationen Nutzer nach dem Update unerwartet aufgefordert werden können, ihren BitLocker-Wiederherstellungsschlüssel einzugeben.

Habt ihr noch andere negative Auswirkungen der April-Patch-Dienstag-Updates bemerkt? Teilt eure Erfahrungen mit uns.


Siehe auch: