本周微软发布了 Windows Server 2012 R2 KB5009624 更新、Windows Server 2019 KB5009557 更新和 Windows Server 2022 KB5009555 更新 。原本是为了解决Windows Server中、用于修改LDAP参数时的Active Directory (AD)属性设计不当引发的安全问题,但却引发Windows域控制器频繁重启。
看起来 KB5009557 (2019) 和 KB5009555 (2022) 会导致域控制器出现故障,然后每隔几分钟就会重新启动。补丁会导致LSASS.exe 进程使用服务器上的所有 CPU,然后最终终止。由于 LSASS 是 Windows 正常运行所需的关键进程,当进程终止时操作系统会自动重启。 LSASS 进程崩溃而重新启动时,以下错误将记录到事件查看器中:
“The process wininit.exe has initiated the restart of computer [computer_name] on behalf of user for the following reason: No title for this reason could be found Reason Code: 0x50006 Shutdown Type: restart Comment: The system process ‘C:\WINDOWS\system32\lsass.exe’ terminated unexpectedly with status code -1073741819. The system will now shut down and restart.”
除了引导循环之外,在安装补丁后,Windows Server 2012 R2 上部署的Hyper-V 还会出现无法启动的异常。由于 Hyper-V 未启动,因此在尝试启动虚拟机时,会产生如下告警日志:
Virtual machine xxx could not be started because the hypervisor is not running.
“初始化错误:虚拟机无法启动,因为 Hypervisor 未运行。”
如果出现以上问题,如何解决呢,可以尝试用如下指令卸载补丁:
Windows Server 2012 R2:
wusa /uninstall /kb:KB5009624
Windows Server 2019:
wusa /uninstall /kb:KB5009557
Windows Server 2022:
wusa /uninstall /kb:KB5009555
由于 Microsoft 将所有安全修复程序捆绑到单个更新中,因此删除累积更新可能会修复错误,但也会删除针对最近修补的漏洞的所有修复程序。因此,只有在绝对必要时才应卸载这些更新。
本次释放出来的Windows 11 的更新 KB5009566 和 Windows 10 20H2 – 21H2 的更新 KB5009543 还会阻止通过相关的 Windows 客户端与 L2TP over IPSEC 建立 VPN 连接。尝试建立连接时,会出现错误“L2TP 连接尝试失败,因为安全层在与远程计算机的初始协商期间遇到处理错误”。
同样处理办法也需要先卸载以上补丁。