maxblank
Goto Top

Probleme nach Updates Microsoft Patchday April 2019 bei Windows Server 2008 R2 mit "KB4493472"

Guten Morgen zusammen,

ich wollte nur darauf hinweisen, dass nach den o.a. Updates bei mir 2 VM´s mit Windows Server 2008 R2 die Maschinen über 1,5 Stunden bei "Konfiguriere Updates" stehen geblieben sind.
Die VM´s laufen unter VMware vSphere 6.5.0, 9298722.

Zu der genaueren Ursache kann ich noch nix sagen. Ich werde die Maschinen jetzt aus dem Backup wieder herstellen.

Passt also bitte auf, dass es euch nicht auch am frühen Morgen so geht.

Gruß
maxblank

Content-ID: 438915

Url: https://administrator.de/contentid/438915

Ausgedruckt am: 24.11.2024 um 00:11 Uhr

wuurian
wuurian 10.04.2019 um 09:04:58 Uhr
Goto Top
Moin,

da warst du aber mutig; gestern war erst der Patchday :D
Danke für die Info, wenn du näheres weißt, her damit!

Viele Grüße
maxblank
maxblank 10.04.2019 aktualisiert um 14:15:07 Uhr
Goto Top
Moin wuurian,

ja, wollte vor meinem Urlaub noch alles auf Stand haben. face-smile

Es scheint bei mir das Update KB4493472 gewesen zu sein, dass die Probleme verursacht.

https://www.catalog.update.microsoft.com/Search.aspx?q=kb4493472

Komischerweise ist es auf 2 Dell Servern R520 mit Windows Server 2008 R2 (ohne Virtualisierung, also Bare Metall) ohne Probleme durchgelaufen, genauso wie in meiner Testumgbung. In der Produktivumgebung ist es dann an 2 VM´s gescheitert, genauso wie auf einem HP Proliant DL360 Gen 8 (Bare Metall).

Ich prüfe es jetzt nochmals in meiner Testumgebung mit einer neuen VM mit Windows Server 2008 R2.

Gruß
maxblank
SNA0815
SNA0815 10.04.2019 aktualisiert um 11:35:13 Uhr
Goto Top
Bei uns das gleiche. Windows 2008 Server und Windows 7 Clients hängen beim Konfigurieren von Updates. Nicht alle, aber sehr viele.

Ein Deaktivieren der Sophos Antivirus Dienste im abgesicherten Modus löst das Problem und das KB4493472 lässt sich installieren. Wenn man danach die Sophos Dienste startet, schmiert der Server ab. Deinstalliert man KB4493472, läuft Sophos wieder.

Hast Du auch Sophos Antivirus?

Edit:
Es sind KB4493448 und KB4493472. Haben bei uns beide im WSUS gesperrt und deinstalliert.
maxblank
maxblank 10.04.2019 um 09:59:17 Uhr
Goto Top
Ja, wir haben auch Sophos. Auf diesen "alten" Servern ist noch Sophos Endpoint Protection bei uns drauf, ansonsten bei neueren Betriebssystemen Sophos Intercept X. Danke dir für den Lösungsansatz. Stelle ich in der Testumgebung nach.
napperman
napperman 10.04.2019 um 10:22:16 Uhr
Goto Top
Moin zusammen,

bei uns das gleiche mit Windows 7 Clients.
Ebenfalls Sophos Endpoint drauf.
Wenn ich dann allerdings im abgesicherten Modus starten wollte, wurde ein Fehler beim Konfigurieren der Updates festgestellt und alles rückgängig gemacht.
Ich habe vorerst den Updates
KB4493448
KB4493472
KB4493435
die Genehmigung zur Installation im WSUS entzogen...
VGem-e
VGem-e 10.04.2019 um 10:29:09 Uhr
Goto Top
Moin,

auch ein testweise virtualisierter Windows Server 2008 (ohne R2) war zunächst nicht gestartet und in einem BSOD gelandet.

Ein Reboot ergab keine Auffälligkeiten mehr.

Mit den anderen Produktivservern warte ich bis zum Wochenende, zumal ich aktuell wegen anderweitiger Tätigkeiten nicht zum ungestörten Update komme..

Gruß
KambLars
KambLars 10.04.2019 um 11:50:24 Uhr
Goto Top
Kann ich bestätigen.

VMWare ESX 6.5
Windows Server 2008R2

Benötigt Restore aus Backup, alternativ im Abgesicherten Modus:

Login with the Directory services restore mode account (typically .\administrator) and open a command prompt and run the following:

bcdedit /deletevalue safeboot
shutdown -t 01 -r
Afterwards it should reboot in normal mode.
vanTast
vanTast 10.04.2019 um 12:01:39 Uhr
Goto Top
Moin,

hier das gleiche Spiel:
Server 2008 R2 unter VMware 6.5.0 9451637 mit Sophos Endpoint Security 10.8
Hing nach dem reboot für gut 1 Stunde. Danach konnte man sich aber anmelden und alles läuft wie gewohnt.
So langsam gehen mir diese #### Updates von MS aber gehörig auf den Zünder.
Hab das Update vom WSUS gekickt.
So langsam spricht es sich herum: https://community.spiceworks.com/topic/2203711-update-kb4493472-issues

Gruss vanTast
Badger
Badger 10.04.2019 um 12:30:27 Uhr
Goto Top
maxblank
maxblank 10.04.2019 um 12:47:07 Uhr
Goto Top
Zitat von @Badger:

"Fehlalarm" Sophos UTM

Zusammenhang?

Da geht es ja eher um Firewall bzw. UTM. Bei unserem Problem um Antiviren-Software. Ich glaube nicht, dass da ein Zusammenhang besteht.
KambLars
KambLars 10.04.2019 um 12:59:11 Uhr
Goto Top
Ich auch nicht. Wir haben keine Sophos im Einsatz, dennoch das Problem gehabt.
WWW-KR
WWW-KR 10.04.2019 um 13:30:06 Uhr
Goto Top
Hallo,

ja, kann ich bestätigen mehrere Windows 7 Clients stehen im "bitte warten ..." Bildschirm. Im Ereignisprotokoll kann man Sophos (SEC) deutlich vernehmen.

Gruß
westberliner
westberliner 10.04.2019 um 13:52:34 Uhr
Goto Top
Hallo Zusammen,

same again here - haben auch Sophos im Einsatz, nun hatte ich bereits 2 Rechner mit dem Verhalten.

Habe mal dem KB4493472 die Genehmigung für W7 und Server 2008 entzogen.

Deinstallation im Abgesicherten Modus hilft das Problem zu umgehen.
joehuaba
joehuaba 10.04.2019 um 14:10:26 Uhr
Goto Top
Hallo Zusammen,

same here.
Windows 7 und Sophos.

Windows Server 2008 R2 kann ich noch nicht bestätigen, habe mich davor bewart diese Server neu zu starten...


Gruß joehauaba
vanTast
vanTast 10.04.2019 um 14:13:03 Uhr
Goto Top
Bei Sophos wurde das Problem auch schon benannt:
https://community.sophos.com/products/endpoint-security-control/f/sophos ...
Bisher aber noch keine Reaktion.
Der Ereignisanzeige nach hängt SavService.exe nach dem reboot.
ArnoNymous
ArnoNymous 10.04.2019 um 14:54:52 Uhr
Goto Top
Aktueller Status seitens Sophos:

https://community.sophos.com/kb/en-us/133945
Seborted
Seborted 11.04.2019 um 08:02:43 Uhr
Goto Top
Bei uns gibt es auch Probleme mit dem Update. Die Clients haben auch alle Windows 7 und Sophos Endpoint Security and Control installiert. Aktuell führen wir über den abgesicherten Modus eine Systemwiederherstellung durch.
Dennis93
Dennis93 11.04.2019 um 10:31:19 Uhr
Goto Top
Hier auch bei fast allen Kunden mit Sophos. Die Windows 7 PCs hängen im "Bitte warten" fest und das wars. Bei allen Kunden jetzt rumfahren um den abgesicherten Modus zu starten, Dienste zu deaktivieren, etc. würde uns UNMENGEN Zeit und Ressourcen kosten.. Danke Microsoft.. Oder besser, Danke Sophos?!.. Wir sind mehr und mehr unzufrieden mit Sophos und lösen seit längerer Zeit alle Sophos Installationen ab. Nur die bestehenden Lizenzen lassen wir noch auslaufen.
SweetOne
SweetOne 11.04.2019 um 11:44:25 Uhr
Goto Top
Hallo Leute,

also ich kann nach meiner Meinung bestätigen das es ein zusammenspiel Sophos und das entsprechende Update zu geben scheint.
Das o.g. Update wird äußerst Träge installiert und umgesetzt (Stunden) und im Anschluss ist eine Anmeldung kaum möglich (sehr Träge).
Nach der Anmeldung auch äußerst Träge.

Im Anschluss habe ich alle Sophos Dienste deaktiviert und habe keienrlei Trägheit mehr.

Gruß
SweetOne
SweetOne
SweetOne 11.04.2019 um 12:06:52 Uhr
Goto Top
Hallo Leute,

Sophos hat o.g. Sachverhalt bestätigt und darauf hingewiesen das MS das laden von DLL's geändert hat und davon nicht nur Sophos betroffen ist. Betroffen ist Konkret der On Access Scanner. MS hat das Update aktuell zurückgezogen.

Gruß
SweetOne
sabines
sabines 11.04.2019 um 12:32:34 Uhr
Goto Top
Zitat von @SweetOne:

Sophos hat o.g. Sachverhalt bestätigt und darauf hingewiesen das MS das laden von DLL's geändert hat und davon nicht nur Sophos betroffen ist. Betroffen ist Konkret der On Access Scanner. MS hat das Update aktuell zurückgezogen.


Bitte Quelle angeben, das Update wird noch immer angeboten!

Aktuell ist das Update nur für Sophos User zurückgezogen und diese Info steht auch nur im englischen KB (Stand 12:30)
https://support.microsoft.com/en-us/help/4493472/windows-7-update-kb4493 ...
SweetOne
SweetOne 11.04.2019 um 12:51:16 Uhr
Goto Top
Quelle war ein persönliches Telefonat face-wink.
Mittlerweile kann ich aber von Sophos den Knowledge Base Artikel nachliefern:

https://community.sophos.com/kb/en-us/133945
Dennis93
Dennis93 11.04.2019 um 13:22:37 Uhr
Goto Top
T3N schrieb folgendes:

[...]Sophos zufolge hat Microsoft vorübergehend die Updates für alle Geräte, auf denen Sophos Endpoint installiert ist, blockiert und arbeitet an einer Lösung. Die Sicherheitsfirma rät dazu, die betreffenden Updates nicht zu installieren. Wer die Updates schon installiert hat und mit Problemen kämpft, dürfte nicht darum herumkommen, diese wieder zu deinstallieren.[...]

T3N
SweetOne
SweetOne 11.04.2019 um 13:44:46 Uhr
Goto Top
Hallo,

ich habe nur ein Problem unter Windows 7 X86:
Nach dem deinstallieren von den KB4493448 und KB4493472 erscheint nach dem Starten und Strg/Alt/Entf drücken keine Maske zum Login.
Hat jemand eine Idee wie man dies nun beheben kann?

Problem tritt wiederholbar unter verschiedenen Systemen auf.

Gruß
SweetOne
OSelbeck
OSelbeck 11.04.2019 um 14:01:40 Uhr
Goto Top
Hallo,
ich hatte das jetzt bei mehreren Rechner ...

Ich hab alle Dienste von Sophos deaktiviert, (Im Abgesicherten Modus)

Danach startete der Rechner, KB deinstalliert, und Dienste aktiviert, alles gut face-wink
Gilli1977
Gilli1977 11.04.2019 um 15:18:03 Uhr
Goto Top
Hallo,

hab bei uns die Erfahrung machen dürfen, dass auf Server OS die Deinstallation der fraglichen Updates reicht. Bei unseren Windows 7 Clients muss auch noch der Sophos Client vollständig deinstalliert werden. Ansonsten brauchen die Clients ca. 45 min, bis man einen Ping schicken oder sich anmelden kann. Anmeldung ist dann auch start verzögert möglich.

Zumindest konnte ich über WSUS die Deinstallation anstoßen.

Beste Grüße
joehuaba
joehuaba 11.04.2019 um 15:47:53 Uhr
Goto Top
Derzeitiger Workaround für uns:

Windows Updates am WSUS Server ablehnen:
kb4493435
kb4493448
kb4493472

PCs im abgesicherten Modus starten und folgende Batch ausführen:
REM STOP SOPHOS SERVICES
net stop "Sophos Agent"  
net stop "SAVService"  
net stop "SAVAdminService"  
net stop "Sophos AutoUpdate Service"  
net stop "Sophos Client Firewall"  
net stop "Sophos Client Firewall Manager"  
net stop "Sophos Message Router"  
net stop "sophossps"  
net stop "Sophos Web Control Service"  
net stop "swi_filter"  
net stop "swi_service"  
net stop "swi_update_64"  

sc config "Sophos Agent" start= disabled  
sc config "SAVService" start= disabled  
sc config "SAVAdminService" start= disabled  
sc config "Sophos AutoUpdate Service" start= disabled  
sc config "Sophos Client Firewall" start= disabled  
sc config "Sophos Client Firewall Manager" start= disabled  
sc config "Sophos Message Router" start= disabled  
sc config "sophossps" start= disabled  
sc config "Sophos Web Control Service" start= disabled  
sc config "swi_filter" start= disabled  
sc config "swi_service" start= disabled  
sc config "swi_update_64" start= disabled  


REM UNINSTALL WINDOWS UPDATE KBS
wusa /uninstall /kb:4493435
wusa /uninstall	/kb:4493448
wusa /uninstall /kb:4493472


REM DELETE LOCAL UPDATE FILES
net stop "wuauserv"  
rd /s /q "C:\Windows\SoftwareDistribution"  
net start "wuauserv"  


REM REBOOT
shutdown -r -t 0

Nach einem Neustart dauert es noch 5 Minuten, bis die Updates konfiguriert wurden.
Danach sollte sich der User anmelden können.

Hier noch folgende Batch ausführen, um die Sophos Dienste wieder "normal" laufen zu lassen:

REM CONFIGURE SOPHOS SERVICES
sc config "Sophos Agent" start= auto  
sc config "SAVService" start= auto  
sc config "SAVAdminService" start= auto  
sc config "Sophos AutoUpdate Service" start= auto  
sc config "Sophos Client Firewall" start= auto  
sc config "Sophos Client Firewall Manager" start= auto  
sc config "Sophos Message Router" start= auto  
sc config "sophossps" start= auto  
sc config "Sophos Web Control Service" start= auto  
sc config "swi_filter" start= auto  
sc config "swi_service" start= auto  
sc config "swi_update_64" start= auto  


REM REBOOT
shutdown -r -t 0

fertig.
Den Sophos global zu deaktivieren ist für uns keine Option - aus Sicherheitsgründen.

Gruß joehuaba (wartend auf Sophos oder Microsoft fix....)
em-pie
em-pie 11.04.2019 um 21:41:13 Uhr
Goto Top
Moin,

Das Problem haben wir zwar aktuell nicht (setzen keine Sophos EP ein und Updates sind auch noch nicht freigegeben), aber als genereller Sophos Kunde kam vorhin folgende Mail an:

Dear Sophos Partner,

Microsoft has released security updates that are impacting some security AV vendors, causing some of their customers using Windows 7, Windows 8.1, Windows 2008 R2, and Windows 2012 to occasionally experience system fails or hangs during boot up after application of the update.

A small number of Sophos customers have reported experiencing this issue. Sophos is working very closely with Microsoft to resolve the issue. Microsoft has introduced a temporary block to stop computers not already affected from applying the latest Windows security update. Additionally, we have a work around for those impacted customers.

How do I know if my customer is impacted?
To be impacted, customers must meet all the criteria below. If they do not meet all the criteria, then they are not impacted. 
1.	Running Windows 7, Windows 8.1, Windows 2008 R2, or Windows 2012
2.	Running any Sophos Windows endpoint or server product except Sophos Central Intercept X. (Note: this does impact Intercept X Advanced and Intercept X Advanced with EDR.)
3.	Have applied the latest Windows security update and have rebooted after the update is complete

Important note: If customers have not yet rebooted, they should uninstall the latest Microsoft security update before rebooting
As the majority of Sophos customers do not seem to be affected, it is possible that during the ongoing investigation additional criteria will be added to further limit the scope of impacted customers. KBA 133945 will continue to be updated with the latest information.

How do I help an impacted customer?
The latest information about this issue and remediation steps are documented in KBA 133945.
We are notifying all Sophos Endpoint customers via email to inform them of this situation. The KBA will continue to be updated with the latest information.

Your Sophos Team


Gruß
em-pie
Deepsys
Deepsys 11.04.2019 um 23:29:03 Uhr
Goto Top
Fan0802
Fan0802 12.04.2019 um 10:42:20 Uhr
Goto Top
Heute Nacht hat unser WSUS aktualisierte Microsoft Updates empfangen. Das sind neue Revisionen der bereits am 09. April ausgelieferten Updates.
Hat Microsoft hier das Problem gefixt oder wie bei den Online Updates die Installation dadurch geblockt ? Ich habe leider keine weiteren Informationen zu den 'neuen' Patches gefunden.

Update - 08:45 BST 11/04/19: Microsoft has temporarily blocked devices from receiving this update if the Sophos Endpoint is installed until a solution is available. Further information can be found in the Microsoft Articles listed above.


Die folgenden 27 neuen Updates wurden seit Donnerstag, 11. April 2019 20:08 (GMT) auf xxxx synchronisiert.
2019-04 – Sicherheitsqualitätsupdate für Windows Server 2008 R2 für x64-basierte Systeme (KB4493448)
2019-04 – Monatliches Sicherheitsqualitätsrollup für Windows Embedded Standard 7 für x86-basierte Systeme (KB4493472)
2019-04 Kumulatives Sicherheitsupdate für Internet Explorer 11 für Windows 7 für x64-basierte System (KB4493435)
2019-04 Kumulatives Sicherheitsupdate für Internet Explorer 9 für Windows Server 2008 für x64-basierte System (KB4493435)
2019-04 – Monatliches Sicherheitsqualitätsrollup für Windows Server 2008 R2 für x64-basierte Systeme (KB4493472)
2019-04 Kumulatives Sicherheitsupdate für Internet Explorer 11 für Windows Embedded Standard 7 für x64-basierte System (KB4493435)
2019-04 – Monatliches Sicherheitsqualitätsrollup für Windows Server 2012 für x64-basierte Systeme (KB4493451)
2019-04 – Sicherheitsqualitätsupdate für Windows Embedded Standard 7 für x86-basierte Systeme (KB4493448)
2019-04 – Monatliches Sicherheitsqualitätsrollup für Windows Server 2008 für x64-basierte Systeme (KB4493471)
2019-04 – Sicherheitsqualitätsupdate für Windows Server 2012 R2 für x64-basierte Systeme (KB4493467)
2019-04 – Monatliches Sicherheitsqualitätsrollup für Windows Server 2008 für x86-basierte Systeme (KB4493471)
2019-04 Kumulatives Sicherheitsupdate für Internet Explorer 11 für Windows Server 2012 R2 für x64-basierte System (KB4493435)
2019-04 Kumulatives Sicherheitsupdate für Internet Explorer 11 für Windows Embedded Standard 7 für x86-basierte System (KB4493435)
2019-04 Kumulatives Sicherheitsupdate für Internet Explorer 11 für Windows Server 2008 R2 für x64-basierte System (KB4493435)
2019-04 – Sicherheitsqualitätsupdate für Windows Server 2008 für x64-basierte Systeme (KB4493458)
2019-04 Kumulatives Sicherheitsupdate für Internet Explorer 9 für Windows Server 2008 für x86-basierte System (KB4493435)
2019-04 – Sicherheitsqualitätsupdate für Windows 7 für x64-basierte Systeme (KB4493448)
2019-04 – Monatliches Sicherheitsqualitätsrollup für Windows 7 für x86-basierte Systeme (KB4493472)
2019-04 – Monatliches Sicherheitsqualitätsrollup für Windows 7 für x64-basierte Systeme (KB4493472)
2019-04 – Monatliches Sicherheitsqualitätsrollup für Windows Server 2012 R2 für x64-basierte Systeme (KB4493446)
2019-04 Kumulatives Sicherheitsupdate für Internet Explorer 10 für Windows Server 2012 für x64-basierte System (KB4493435)
2019-04 – Monatliches Sicherheitsqualitätsrollup für Windows Embedded Standard 7 für x64-basierte Systeme (KB4493472)
2019-04 – Sicherheitsqualitätsupdate für Windows Embedded Standard 7 für x64-basierte Systeme (KB4493448)
2019-04 – Sicherheitsqualitätsupdate für Windows Server 2008 für x86-basierte Systeme (KB4493458)
2019-04 – Sicherheitsqualitätsupdate für Windows 7 für x86-basierte Systeme (KB4493448)
2019-04 – Sicherheitsqualitätsupdate für Windows Server 2012 für x64-basierte Systeme (KB4493450)
2019-04 Kumulatives Sicherheitsupdate für Internet Explorer 11 für Windows 7 für x86-basierte System (KB4493435)

Gruß
Andreas
sabines
sabines 13.04.2019, aktualisiert am 14.04.2019 um 11:46:25 Uhr
Goto Top
Moin,

wie hier nachzulesen ist:
https://support.microsoft.com/en-us/help/4493472/windows-7-update-kb4493 ...

Ist das Update für Sophos, Avira, ArcaBit und Avast User zurückgezogen worden.

Gruss
Deepsys
Deepsys 15.04.2019 um 09:51:46 Uhr
Goto Top
Nicht zu vergessen, das Kerberos SQL Problem:

After installing this update, some customers report that authentication fails for services that require unconstrained delegation after the Kerberos ticket expires (the default is 10 hours). For example, the SQL server service fails.

Betrifft alles nur Windows 7 Service Pack 1 und Windows Server 2008 R2 Service Pack 1.
bauinformatiker
bauinformatiker 16.04.2019 um 22:15:05 Uhr
Goto Top
Meine Strategie:
- Bei Clients 1 Woche, bei Servern 2 Wochen nach dem Patchday warten
- Einen Server nach dem anderen erst installieren, dann neu starten, danach erst der nächste
- So ein Serverneustart kann auch bei performanten VMs gut ne Stunde dauern. Nach 1,5h hätte ich noch nicht aufgegeben face-wink
kgborn
kgborn 27.04.2019 aktualisiert um 13:49:32 Uhr
Goto Top
Als Ergänzung zu diesem Thread - speziell, da Sophos auch aufgeführt wurde - ich habe einen kurzen Abriss zum Status Quo und einen Hinweis auf mögliche Probleme im administrator.de-Beitrag Windows April 2019 Patchday-Probleme in Zusammenhang mit Antivirus-Lösungen - Status Quo nachgetragen.
Badger
Badger 29.05.2019 um 17:39:03 Uhr
Goto Top
Problem war scheinbar Defender ATP (Bericht von heise).
kgborn
kgborn 03.06.2019 aktualisiert um 15:04:41 Uhr
Goto Top
Thx für den Nachtrag - der Thread hier ist mir aus dem Fokus geraten - aber so schließt sich der Kreis face-wink