SchwachstellenCloud-Sicherheit

Windows-Server-Notfall: April-Patches verursachen Neustartschleifen bei Domain Controllern

Windows-Server-Notfall: April-Patches verursachen Neustartschleifen bei Domain Controllern
Zusammenfassung

Microsofts Aprilsicherheitsupdates für Windows Server verursachen in bestimmten Umgebungen erhebliche Probleme: Nach der Installation des Patches KB5082063 geraten Domain Controller ohne Global Catalog in Neustartschleifen, wenn sie mit Privileged Access Management (PAM) arbeiten. Der Grund liegt in Abstürzen des Local Security Authority Subsystem Service (LSASS) während des Startvorgangs. Dies führt dazu, dass betroffene Systeme sich wiederholt neu starten, was die Authentifizierung und Verzeichnisdienste lahmlegt und ganze Domänen funktionsunfähig machen kann. Besonders problematisch ist, dass das Problem bereits bei der Einrichtung neuer Domain Controller sowie bei bestehenden Servern auftreten kann, die früh im Startprozess Authentifizierungsanfragen verarbeiten. Die Auswirkungen beschränken sich zwar hauptsächlich auf Organisationen mit PAM-Implementierung und betreffen Windows Server 2025, 2022, 23H2, 2019 und 2016, doch für betroffene deutsche Unternehmen und Behörden könnte dies zu massiven Ausfallzeiten und Sicherheitsrisiken führen. Microsoft arbeitet noch an einer endgültigen Lösung und rät Administratoren, den Support zu kontaktieren, während eine vollständige Behebung ausstehend ist.

Das Problem betrifft nicht-Global-Catalog-Domain-Controller in Umgebungen mit Privileged Access Management. Die Liste der betroffenen Systeme ist umfangreich: Windows Server 2025, Windows Server 2022, Windows Server 23H2, Windows Server 2019 und Windows Server 2016 sind alle anfällig. Microsoft bestätigte das Problem über sein Health Dashboard und warnte, dass Administratoren diese Fehler sowohl beim Einrichten neuer Domain Controller als auch bei bestehenden Systemen antreffen können.

Besonders problematisch: Betroffene Domain Controller starten wiederholt neu, was Authentifizierungsdienste und das Active Directory lahmlegt. In kritischen Infrastrukturen oder großen Unternehmensnetzen kann dies zu massiven Ausfallzeiten führen. Für deutsche Behörden und Unternehmen, die auf zentralisierte Active-Directory-Strukturen angewiesen sind, wäre ein totaler Domänenausfall katastrophal.

Das aktuelle Update KB5082063 ist nicht das erste Mal, dass Microsofts Sicherheits-Patches bei Domain Controllern Probleme verursachen. Im Juni 2025 musste Microsoft Authentifizierungsfehler beheben, die durch April-Updates entstanden waren. Im Mai 2024 führten April-Patches zu NTLM-Ausfällen und Neustarts, und bereits im März 2024 waren Emergency-Out-of-Band-Updates notwendig geworden.

Zusätzlich zu den Neustartschleifen dokumentiert Microsoft weitere Probleme mit KB5082063: Das Update scheitert auf manchen Windows-Server-2025-Systemen komplett, und auf anderen Systemen werden Benutzer unerwartet aufgefordert, ihren BitLocker-Schlüssel einzugeben – was in produktiven Umgebungen zu massiven Störungen führen kann.

Microsoft rät betroffenen Administratoren, unverzüglich den Microsoft Support for Business zu kontaktieren, um Mitigation-Maßnahmen zu erhalten. Allerdings: Eine endgültige Lösung existiert noch nicht. Bis dahin sollten Organisationen kritisch überprüfen, ob das Update KB5082063 in ihren PAM-Umgebungen bereits deployt wurde, und im Falle von Problemen sofort mit dem Rollback beginnen. Die Sicherheit der eigenen Infrastruktur geht vor – auch wenn das bedeutet, auf aktuelle Patches temporär zu verzichten.

Ähnliche Artikel