Verbesserungen und Korrekturen
Dieses Sicherheitsupdate beinhaltet Qualitätsverbesserungen. Es werden allerdings keine neuen Features für das Betriebssystem eingeführt. Wichtige Änderungen:
- Die Windows-Kryptografie-API wurde aktualisiert, um SHA-1 für die SSL-/TLS-Serverauthentifizierung als veraltet zu kennzeichnen, einschließlich in Microsoft Edge und Internet Explorer 11. Weitere Informationen finden Sie unter Advisory 4010323 .
- Sicherheitsupdates für Microsoft Graphics Component, Microsoft Windows DNS, Windows COM, Windows Server und Windows-Kernel.
Weitere Informationen zu den behobenen Sicherheitsrisiken finden Sie im Leitfaden zu Sicherheitsupdates.
Bekannte Probleme bei diesem Update
Dieses Sicherheitsupdate hat ein Problem verursacht, bei dem versuche, die Verbindung wiederherzustellen, wenn ein iSCSI-Ziel nicht mehr verfügbar ist, zu einem Verlust führt. Das Initiieren einer neuen Verbindung mit einem verfügbaren Ziel funktioniert wie erwartet. Dieses Problem wird derzeit von Microsoft untersucht. Entsprechende Informationen werden in der Microsoft Knowledge Base veröffentlicht, sobald sie verfügbar sind.
Weitere Informationen zu diesem Problem finden Sie im folgenden Abschnitt.
Weitere Informationen zum iSCSI-Problem
Windows Server 2012 R2- und Server 2016-Computer, bei denen verbindungen mit iSCSI-Zielen getrennt werden, können viele verschiedene Symptome auftreten. Dazu gehören, aber nicht beschränkt auf:
- Das Betriebssystem reagiert nicht mehr.
- Sie erhalten Stoppfehler (Fehler bei der Fehlerüberprüfung) 0x80, 0x111, 0x1C8, 0xE2, 0x161, 0x00, 0xF4, 0xEF, 0xEA, 0x101, 0x133 oder 0xDEADDEAD.
- Fehler bei der Benutzeranmeldung treten zusammen mit dem Fehler "Keine Anmeldeserver verfügbar" auf.
- Anwendungs- und Dienstfehler treten aufgrund einer kurzlebigen Portauslastung auf.
- Der Systemprozess verwendet ungewöhnlich viele kurzlebige Ports.
- Der Systemprozess verwendet ungewöhnlich viele Threads.
Ursache
Dieses Problem wird durch ein Sperrproblem auf Windows Server 2012 R2- und Windows Server 2016 RS1-Computern verursacht, das zu Konnektivitätsproblemen mit den iSCSI-Zielen führt. Das Problem kann nach der Installation eines der folgenden Updates auftreten:
Windows Server 2012 R2
| Veröffentlichungsdatum | KB | Artikeltitel |
|---|---|---|
| 16. Mai 2017 | KB-4015553 | 18. April 2017 – KB4015553 (Vorschau des monatlichen Rollups) |
| 9. Mai 2017 | KB-4019215 | 9. Mai 2017 – KB4019215 (Monatliches Rollup) |
| 9. Mai 2017 | KB-4019213 | 9. Mai 2017 – KB4019213 (Nur Sicherheitsupdate) |
| April 2017 | KB-4015553 | 18. April 2017 – KB4015553 (Vorschau des monatlichen Rollups) |
| 11. April 2017 | KB-4015550 | 11. April 2017 – KB4015550 (Monatliches Rollup) |
| 11. April 2017 | KB-4015547 | 11. April 2017– KB4015547 (Nur Sicherheitsupdate) |
| 21. März 2017 | KB-4012219 | März 2017 Vorschau auf das monatliche Qualitätsrollup für Windows 8.1 und Windows Server 2012 R2 |
Windows Server 2016 RTM (RS1)
| Veröffentlichungsdatum | KB | Artikeltitel |
|---|---|---|
| 16. Mai 2017 | KB-4023680 | 26. Mai 2017 – KB4023680 (BS-Build 14393.1230) |
| 9. Mai 2017 | KB-4019472 | 9. Mai 2017 – KB4019472 (BS-Build 14393.1198) |
| 11. April 2017 | KB-4015217 | 11. April 2017 – KB4015217 (BS-Build 14393.1066 und 14393.1083) |
Überprüfungs-
Überprüfen Sie die Version des folgenden MSISCSI-Treibers auf dem System:
c:\windows\system32\drivers\msiscsi.sys
Die Version, die dieses Verhalten verfügbar macht, ist 6.3.9600.18624 für Windows Server 2012 R2 und Version 10.0.14393.1066 für Windows Server 2016.
Die folgenden Ereignisse werden im Systemprotokoll protokolliert:
Ereignisquelle ID Text iScsiPrt 34 Eine Verbindung mit dem Ziel wurde unterbrochen, aber der Initiator hat erfolgreich eine Verbindung mit dem Ziel hergestellt. Dumpdaten enthalten den Zielnamen. iScsiPrt 39 Der Initiator hat einen Taskverwaltungsbefehl gesendet, um das Ziel zurückzusetzen. Der Zielname wird in den Sicherungsdaten angegeben. iScsiPrt 9 Das Ziel hat nicht rechtzeitig auf eine SCSI-Anforderung geantwortet. Das CDB wird in den Sicherungsdaten angegeben. Überprüfen Sie die Anzahl der Threads, die unter dem Systemprozess ausgeführt werden, und vergleichen Sie dies mit einer bekannten Arbeitsbaseline.
Überprüfen Sie die Anzahl der Handles, die derzeit vom Systemprozess geöffnet werden, und vergleichen Sie dies mit einer bekannten Arbeitsbaseline.
Überprüfen Sie die Anzahl der kurzlebigen Ports, die vom Systemprozess verwendet werden.
Führen Sie in einer administrativen PowerShell den folgenden Befehl aus:
Get-NetTCPConnection | Group-Object -Property State, OwningProcess | Sortieranzahl
Oder führen Sie an einer administrativen CMD-Eingabeaufforderung den folgenden NETSTAT-Befehl zusammen mit dem Schalter "Q" aus. Dadurch werden "gebundene" Ports angezeigt, die nicht mehr verbunden sind:
NETSTAT –ANOQ
Konzentrieren Sie sich auf Ports, die sich im Besitz des SYSTEM-Prozesses befinden.
Für die drei vorherigen Punkte sollten alles, was mehr als 12.000 ist, als verdächtig angesehen werden. Wenn iSCSI-Ziele auf dem Computer vorhanden sind, ist die Wahrscheinlichkeit hoch, dass das Problem auftritt.
Lösung
Wenn die Ereignisprotokolle angeben, dass viele erneute Verbindungen auftreten, arbeiten Sie mit Ihrem iSCSI- und Netzwerkfabricanbieter zusammen, um den Grund für das Versagen der Aufrechterhaltung von Verbindungen mit iSCSI-Zielen zu diagnostizieren und zu korrigieren. Stellen Sie sicher, dass über das aktuelle Netzwerkfabric auf iSCSI-Ziele zugegriffen werden kann. Installieren Sie aktualisierte Korrekturen, sobald sie verfügbar sind. Dieser Artikel wird mit der spezifischen KB-Artikelnummer des Installationsfixes aktualisiert, wenn er verfügbar ist.
Hinweis Es wird nicht empfohlen, die Sicherheitsrollups märz, april, mai oder juni zu deinstallieren. Dadurch werden die Computer bekannten Sicherheits exploits und anderen Fehlern aussetzen, die durch monatliche Updates entschärft werden. Es wird empfohlen, zuerst mit iSCSI-Ziel- und Netzwerkanbietern zusammenzuarbeiten, um die Konnektivitätsprobleme zu beheben, die die Wiederherstellung der Zielverbindungen auslösen.
So erhalten Sie dieses Update
Dieses Update wird von Windows Update automatisch heruntergeladen und installiert. Das eigenständige Paket für dieses Update finden Sie auf der Microsoft Update-Katalog-Website.
-
Voraussetzungen
Um dieses Update anwenden zu können, müssen Windows 8.1 und Windows Server 2012 R2-Update installiert sein: April 2014 (KB2919355). -
Dateiinformationen
Um eine Liste der Dateien zu erhalten, die in diesem Update bereitgestellt werden, laden Sie die Dateiinformationen für kumulative Update-KB4019213 herunter.
Weitere Informationen
- Dieses reine Sicherheitsqualitätsupdate enthält keine Sicherheitskorrekturen für internetbasierte Explorer. Um die Sicherheitskorrekturen für Internet Explorer zu erhalten, sollte auch das kumulative Sicherheitsupdate für Internet Explorer KB4018271 installiert werden. Beachten Sie, dass das monatliche Sicherheitsqualitätsrollup Sicherheitsupdates für internet Explorer enthält.
- Wenn Sie andere Updateverwaltungsprozesse als Windows Update verwenden und automatisch alle Sicherheitsupdateklassifizierungen für die Bereitstellung genehmigen, werden die Security-Only Quality Update KB4019213 mai 2017, das monatliche Sicherheitsqualitätsrollup von Mai 2017 KB4019215 und das kumulative Sicherheitsupdate für Internet Explorer KB4018271 bereitgestellt. Es wird empfohlen, ihre Updatebereitstellungsregeln zu überprüfen, um sicherzustellen, dass die gewünschten Updates bereitgestellt werden.