treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

※https化しました。その影響でしばらくリンク切れなどがあるかもしれませんが徐々に修正していきます。 リンク切れなどのお気づきの点がございましたらコメントなどでご指摘いただけますと助かります。

2024年3月のWindows Update(Windows Server)

WindowsUpdate 運用管理

今月のWindows UpdateはWindows Serverではちょっとした問題が発生していた模様。
その内容を記録しておきます。

Windows Server 2019でエラー発生

Windows Server 2019の更新プログラム(KB5035849)の適用でWindows Updateから実行するとダウンロードエラー 0x80240034が発生するという動きがあったようです。

https://old.reddit.com/r/sysadmin/comments/1bcp2ql/patch_tuesday_megathread_20240312/

Windows Server 2019はWindows10 1809 LTSCと同じKBなので同様にエラーが発生した模様です。確かに対象の環境がありました。

URLを読んでいくとWSUSやWindows Update Catalogからダウンロードして手動で適用した場合は影響を受けず正常に適用できたという話も見て取れます。

2024年3月22日現在では、前述のエラー 0xd0000034は解消され、正常にインストールまで完了できるようになっているようです。原因はWindows Update経由でダウンロードされるKBパッケージの破損だったため、Microsoft側で差し替えを実施し解消、ということのようです。

ドメインコントローラでメモリリークが発生

2024年3月の累積的な月例更新プログラムを適用したドメインコントローラ環境では、LSASS.EXEプロセスがメモリをどんどん使用していくようです。

https://learn.microsoft.com/en-us/windows/release-health/status-windows-server-2022#3271msgdesc

記載内容をちょっと要約してみます。

--------------------------------------------------------------

2024年3月のセキュリティ更新プログラム(KB5035857)をインストールしたあとのドメインコントローラで、ローカルセキュリティ機関サブシステムサービス(LSASS)がメモリリークを発生させる可能性があります。
この現象はオンプレミスとクラウドベースのActive DirectoryドメインコントローラがKerberos認証を処理するときに発生しています。
極端なメモリリークを起こしたLSASSが要因でシステムがクラッシュし、予定外のOS(DCの)再起動が発生することがあります。

--------------------------------------------------------------

対象として挙げられているOSは「Server: Windows Server 2022; Windows Server 2019; Windows Server 2016; Windows Server 2012 R2」とありますので、ESUを含めたサポート内のWindows Server OSで構成されたActive Directoryドメインコントローラが全て対象となりそうです。また「Next steps」とある箇所には、「原因が特定され、数日程度でリリースされる解決に取り組んでいる」という主旨と、「このテキスト(文書)は、解決策が入手可能になり次第更新されます。」という記載があるので、更新プログラムのパッチを準備中と思われます。

テスト環境にて

テスト環境のドメインコントローラ(Windows Server 2019)で「2024-03 x64 ベース システム用 Windows Server 2019 (1809) の累積更新プログラム (KB5035849)」の導入後に、Active Directoryにクライアントをサインインした後のDC側メモリ使用量を確認してみました。1対1の最小規模なので影響は見えにくいですが、メモリの使用量が徐々に増えていく様子は確認できました。

ここから、クライアントのサインイン後にしばらく時間を経過させると、

わずか1台のWindows10 Proのサインインですが、時間の経過で「lsass.exe」のメモリ使用量が

何もしなくても(放置しているだけで)どんどん増えていきます。

現状:回避策しかない

これを調べた2024年3月22日現在では、対象である更新プログラムをアンインストールするしかないようです。(※追記:日本時間の3月23日に本件の更新が出たので解決策が提示されています。内容は後述します。※追記ここまで)

Microsoftサポートチケットで問合せを出したユーザはMicrosoftからの案内はアップデートをアンインストールしたままにすることを推奨、と記載しています。

このため2024年3月の更新プログラムを適用したドメインコントローラでLASSサービスのメモリリークが発生するドメインコントローラ環境は更新プログラムの適用を見合わせる、ないしインストール済でこの症状が発生している場合にはいったん更新プログラムをアンインストールする、という回避策しかないようです。

対象のWindows Server 更新プログラムを一覧しておきます。

  • 2024-03 x64 ベース システム用 Windows Server 2019 (1809) の累積更新プログラム (KB5035849)
  • 2024-03 x64 ベース システム用 Windows Server 2016 の累積更新プログラム (KB5035855)
  • 2024-03 x64 ベース システム用 Windows Server 2012 R2 向けセキュリティ マンスリー品質ロールアップ (KB5035885) 

Windows Server 2022は未確認ですがおそらく「2024-03 x64 ベース システム用 Microsoft server operating system, version 22H2 の累積更新プログラム (KB5035857) 」<https://www.catalog.update.microsoft.com/Search.aspx?q=KB5035857>が対象となりそう。

続報を待つ

LSASSの件はドメインコントローラに限定した不具合なので影響範囲自体はそれほどでもないのですが、ある程度の規模の法人環境でActive Directoryじゃないというのは考えにくいので、社内インフラ担当としては頭の痛い話です。

更新プログラムの修正版なりパッチなりがリリースされればWindows Serverリリース情報内の「既知の問題とお知らせ」のページが更新されると記載があるので、そのページを定期的に確認しておきたいと思います。

※前述URLの日本語ページ
https://learn.microsoft.com/ja-jp/windows/release-health/status-windows-server-2022#3271msgdesc

今月はスムーズだと思っていましたが、ドメインコントローラに不具合が出るとはなかなか一筋縄ではいかないようです。

追記(2024-3-25):

解決策が提示され更新プログラムもリリースしたようです。リンク

<Windows Server 2022 | Microsoft Learn>にある抜粋(英文)を日本語にして以下に記載します。(※前述URLの日本語ページでは本記事現在まだ内容が更新されていません。)

--------------------------------------------------------------
解決策: この問題は、帯域外 (OOB) 更新プログラム KB5037422で解決されました。
この更新プログラムは、 Microsoft Update カタログからのみ入手できます。
2024 年 3 月のセキュリティ更新プログラムを DC に適用せず、 代わりにKB5037422をインストールすることを強くお勧めします。
これは累積的な更新プログラムであるため、 KB5037422をインストールする前に以前の更新プログラムを適用する必要はありません。
この更新プログラムをインストールするには、Microsoft Update カタログでKB5037422を検索してください。
(中略)
重要: この更新プログラム ( KB5037422 ) は Windows Update からは入手できず、自動的にインストールされません。
--------------------------------------------------------------

問題のある更新プログラムをインストールせずにMicrosoft Update Catalogからダウンロードしてリリースした更新プログラム「KB5037422」を適用することになるようです。不具合が出た更新プログラムはドメインコントローラではインストールしない、という対処になりそう。

なお、前述の文書はWindows Server 2022用のドキュメントなので、更新プログラムは「KB5037422」となっています。Windows Server 2016では「KB5037423」、ESUのWindows Server 2012では「KB5037426」なのですが、肝心の(当方で対象の)Windows Server 2019ではまだリリースされていないようで、Windows Server 2019のドメインコントローラ用の更新プログラムリリースはまだ待ちになっているようです。

※ちょっとした説明:

Microsoftサポートでは、
https://support.microsoft.com/en-us/topic/march-12-2024-kb5035849-os-build-17763-5576-719f5f8d-51c6-43f0-a612-1c15802fed06

にはまだ更新プログラムの提供について触れられていません。「Known issues in this update」には回避策や解決策はないので更新を待つようにとの記載が継続しています。

しかし、Windows Server 2016では「KB5037423」が用意されており、

https://support.microsoft.com/en-us/topic/march-22-2024-kb5037423-os-build-14393-6799-out-of-band-1775cda2-4bb6-43a9-9fd4-ddc3528d3408

このページの「Improvements」の欄には、

--------------------------------------------------------------
This update addresses a known issue that affects the Local Security Authority Subsystem Service (LSASS).
--------------------------------------------------------------
この更新プログラムは、ローカル セキュリティ機関サブシステム サービス (LSASS) に影響を与える既知の問題に対処します。
--------------------------------------------------------------

という記載が見て取れます。

Windows Server 2016での「KB5037423」に該当する更新プログラムがWindows Server 2019にまだ提供されていないため、2019ではまだリリースされていないようだという結論です。

追記(2024-3-27):

未リリースだったWindows Server 2019の更新プログラムの提供が3月26日に実施されましたので追記しておきます。これで不具合対象だった全バージョンに対して修正版の更新プログラムがすべて出揃ったことになります。

対象のWindows Server 2019用更新プログラムは以下です。

  • 2024-03 x64 ベース システム用 Windows Server 2019 の累積更新プログラム (KB5037425)

既にリリースしている各バージョンの更新プログラムのMicrosoft Update Catalog名

  • 2024-03 x64 ベース システム用 Windows Server 2016 の累積更新プログラム (KB5037423)
  • 2024-03 Microsoft server operating system version 21H2 x64 ベース システム用の累積更新プログラム (KB5037422)(※Windows Server 2022)
  • 2024-03 Update for Windows Server 2012 R2 for x64-based Systems (KB5037426)

今月の更新プログラムは、ドメインコントローラだけは上記の更新プログラムを適用するということになります。