Introductie
Na het installeren van de recent uitgebrachte januari 2022 beveiliging updates op Windows Server 2012R2 raakte een server in een herstart loop. Het probleem houdt verband met een Active Directory component en komt vooral voor op domain controllers. Hoewel het in ons geval om een Windows Server versie 2012R2 gaat, blijkt uit diverse andere blogs dat het probleem ook op andere Windows Server versies voor kan komen.
Wees dus voorzichtig met het installeren van deze updates. Heb je de updates al geïnstalleerd en is je server in een reboot-loop terecht gekomen? Lees dan onderstaande stappen om de server weer operationeel te krijgen.
Aanleiding
Afgelopen week kregen wij melding van het continu wegvallen van een Windows Server welke binnen het netwerk de domain controller en file shares verzorgd. Tijdens onderzoek bleek dat de server op willekeurig interval werd herstart als gevolg van een probleem. Het continu herstarten is gestart nadat de installatie van de recente januari 2022 updates waren afgerond na een herstart.
De Windows Event Viewer bevatte geen nuttige informatie rondom het exacte probleem, echter werd wel duidelijk dat het probleem verband hield met het programma lsass.exe welke gerelateerd is aan de Active Directory. Het probleem zal daardoor vooral voorkomen op domain controllers, andere servers lijken vooralsnog niet beïnvloed.
Het probleem blijkt te zijn veroorzaakt door de volgende update:
2022-01 Security Monthly Quality Rollup for Windows Server 2012 R2 for x64-based Systems (KB5009624)
Vooralsnog lijkt de enige oplossing om de update weer te verwijderen. Echter hoe doe je dit op een continu herstartende server?
Oplossing
- Zorg dat de getroffen Windows Server is uitgeschakeld
- Verbreek de netwerk verbinding
- In geval van een VM: pas de configuratie van de VM in de hypervisor aan, de netwerkadapter mag behouden blijven, echter in “ontkoppelde” staat
- In geval van een fysieke machine: koppel de netwerk kabel(s) los van de poort(en)
- Start de server weer op, doordat er geen netwerk verbinding mogelijk is zal het probleem zich niet voor doen
- Verwijder de update
- KB5009624 in geval van Windows Server 2012R2
- Herstart de server en bevestig dat de update is verwijderd
- Je kunt nu de netwerk verbinding weer inschakelen, de Server zal niet meer automatisch herstarten
- Houdt het probleem aan? Verwijder dan ook de overige januari 2022 updates
- Controleer voor de zekerheid je Windows bestanden door een Command Prompt te openen als Administrator met het volgende commando, herstart indien gevraagd.
sfc /scannow
De server zou nu weer als vanouds moeten opereren.
