Windows 2012 R2 DC im Boot Loop nach Januar Updates

[-]Dr.OeTz![-]

Hallo Zusammen,

leider hat es mich erwischt und zwei meiner Domaincontroller sind noch den Januar Updates im Boot Loop
( https://www.heise.de/news/Sicherhei...en-Kollateralschaeden-in-Windows-6325265.html )
( https://www.prajwaldesai.com/fix-windows-server-2012-reboot-loop-issue/ )

Ich muss also die betreffenden Update deinstallieren. Die Frage ist wie mache ich das?
Weil sobald ich mich anmelde startet der Server neu. Es ist nicht möglich CMD auszuführen und die Befehle zu deinstallieren der Updates auszuführen.

Oder übersehe ich gerade etwas?

Danke für eure Unterstützung

 

[madmax2010]

Backup zurueck rollen.

 

[Zensai]

Von nem DC? Nicht dass die verbleibenden DCs die Wiederhergestellten als nicht mehr vertrauenswürdig sehen. Wäre mir neu dass sich die Best Practice dahingehend verändert hat.
Eigentlich: Neuen DC und FSMO Rollen übertragen.
Ist aber gut möglich dass mein Stand nicht mehr up2date ist.

 

[Redundanz]

du musst per WinRE oder WinPE booten und dann per console mit DISM.exe zumindest die KBs
5009543 & 5008876 & 5009595 entfernen

"dism /image:X:\ /Remove-Package......"

KB5010793 ist das update ab dem das fehlverhalten dann seitens MS gefixt ist.

dazu gibt es auch genug bulletins inzwischen. via google

 

[-]Dr.OeTz![-]

@Redundanz
Vielen Dank für Deine Nachricht. Der eine DC ist eine VM. Daher entfällt die Variante mit WinPE Stick und Co

Habe es geschafft über die VMWare Remote Console (VMRC) die Eingabeaufforderung (CMD) zu starten und da direkt die beiden Befehle zu starten:

wusa /uninstall /kb:5009595 /quiet
wusa /uninstall /kb:5009624 /quiet

(Man muss nur schnell genug sein, sich direkt nach einem Reboot anmelden, sofort CMD ausführen und den Befehl ausführen bevor das System meldet, dass es gleich neu starten wird, denn dann lassen sich keine Anwendungen mehr starten und nichts ausführen.)

Nach einem kurzen Moment (~1min) startete der Server neu und deinstallierte das Update. Der Boot-Loop ist nun unterbrochen bzw. nicht erneut aufgetreten. Die betreffenden Updates finden sich nicht mehr in der Liste mit den installierten Updates.

Frage an der Stelle: Hätte ich diese Befehle auch verwenden können, wenn ich über die Boot Optionen den abgesicherten Modus oder die Eingabeaufforderung gestartet hätte?


Nun zum zweiten betroffenen DC. Der ist zwar direkt auf Blech, steht allerdings 400km entfernt. Ich konnte mich hier per RDP direkt nach einem Reboot aufschalten und ebenfalls schnell die Eingabeaufforderung starten, bevor der Neustart angekündigt wird.

Hier das gleiche Spiel wie oben beschrieben. Fehler ist auch hier behoben.



@madmax2010
Wie @Zensai geschrieben hat, wäre das keine so gute Option gewesen. Also ja - es existiert ein Backup aber einfach zurückspielen hätte vermutlich nicht funktioniert

@Zensai
Vielen Dank auch für Deinen Input. Zum GLück war das nicht notwendig

 

[Redundanz]

@Redundanz
Vielen Dank für Deine Nachricht. Der eine DC ist eine VM. Daher entfällt die Variante mit WinPE Stick und Co


Frage an der Stelle: Hätte ich diese Befehle auch verwenden können, wenn ich über die Boot Optionen den abgesicherten Modus oder die Eingabeaufforderung gestartet hätte?


Hier das gleiche Spiel wie oben beschrieben. Fehler ist auch hier behoben.

top!
zur frage: ja hätte grundsätzlich funktioniert, zudem du es ja sogar "während" des bootloops geschafft hast die dinger abzusetzen
außer natürlich wenn der abgesicherte modus aus irgendeinem grund wesentlich schneller rebootet hätte, dann wärs vllt frickliger geworden. aber die befehle funktionieren auch im safe mode.

wenn der bootloop dir kein zeitfenster gegeben hätte dann wäre WinRE / WinPE die einzige möglichkeit gewesen.

glück gehabt!

 

[madmax2010]

Wie @Zensai geschrieben hat, wäre das keine so gute Option gewesen. Also ja - es existiert ein Backup aber einfach zurückspielen hätte vermutlich nicht funktioniert

ok, wenn es schon in vmware ist, mach mal snapshots vor updates.
Leider muss man bei VMware mit snapshots etwas aufpassen. Wenn man zu viele verkettet wird die Disk unperformant.

 

[nubi80]

... und auf DCs sollte man Snapshots tunlichst auch unterlassen, zumindest deren Wiederherstellung.

Stichwort: Multi Master Replikation und USN Journaling

 

[t-6]

Shit, zu spät. Es hätte ausgereicht das (ggf. virtuelle) Netzwerkkabel zu ziehen. Das unterbricht den Bootloop & man kann gemächlich das Update deinstallieren.
Bei dem Remote DC... Whatsapp Videositzung? ^^

... und auf DCs sollte man Snapshots tunlichst auch unterlassen, zumindest deren Wiederherstellung.

https://docs.microsoft.com/en-us/wi...dc/virtualized-domain-controller-architecture
https://www.veeam.com/blog/de/how-t...troller-best-practices-for-ad-protection.html

Aber: Es ist relativ viel Arbeit einen DC zu recovern. Es ist einfacher/weniger riskant einen 'failed' DC wegzuwerfen & einen neuen an die Stelle zu setzen (sofern dieser DC keine weiteren Rollen als AD & DNS hält; aber wer macht das schon...)