28. September 2017 – KB4038801 (BS-Build 14393.1737)

Gilt für: Windows 10, version 1607Windows Server 2016

Verbesserungen und Korrekturen


Dieses Update enthält Qualitätsverbesserungen. Es werden allerdings keine neuen Features für das Betriebssystem eingeführt. Wichtige Änderungen:

  • Das PowerShell-Skript BitLocker.psm1 wurde aktualisiert, damit bei aktivierter Protokollierung keine Kennwörter protokolliert werden.

  • Das Problem, dass mit der Einstellung „Arbeitsstation sperren“ für Smartcards in bestimmten Fällen das System beim Entfernen der Smartcard nicht gesperrt wird, wurde behoben.

  • Das Problem, dass beim Speichern von Anmeldeinformationen mit einem leeren Kennwort in der Anmeldeinformationsverwaltung das System nicht mehr reagiert, wenn versucht wird, diese Anmeldeinformationen zu verwenden, wurde behoben.

  • Das Problem, dass ein Zugriffstoken in einer WMI-Abfrage nicht ordnungsgemäß geschlossen wird, wurde behoben.

  • Das Problem, dass ReFS die Größe einer geklonten Datei nicht ordnungsgemäß berechnete, wurde behoben.

  • Der Abbruchfehler 0x44 in Npfs!NpFsdDirectoryControl wurde behoben.

  • Die Fehlermeldung „0x1_SysCallNum_71_nt!KiSystemServiceExitPico“ wurde behoben.

  • Das Problem, dass ein Computer jedes Mal, wenn ein verwaltetes Dienstkonto (Managed Service Account, MSA) automatisch das zugehörige Kennwort erneuert, nicht mehr auf die Domäne zugreifen kann, wurde behoben. Durch diesen Fix muss das Betriebssystem oder der NETLOGON-Anmeldedienst nicht neu gestartet werden, wenn das NETLOGON-Ereignis 3210 für 0xc000022 protokolliert wird.
  • Das Problem, dass RemoteApp-Anzeigeprobleme auftreten, wenn Sie eine RemoteApp minimieren und wieder im Vollbildmodus anzeigen, wurde behoben.
  • Das Problem mit Verzögerungen beim Zugriff auf Office-Dokumente von einem Remotenetzlaufwerk aus wurde behoben. Die Dateien werden geöffnet, aber Dateizugriffe und Dateispeichervorgänge sind betroffen. Verzögerungen beim Zugriff nehmen bei größeren Dateien drastisch zu.
  • Das Problem mit Verzögerungen bei Benutzeranmeldungen wurde behoben. Verzögerungen treten auf, wenn die clientseitigen Erweiterungen für Gruppenrichtlinieneinstellung BroadcastSystemMessages und Prozesse mit registrierten Fenstern auf der obersten Ebene senden, nicht reagieren.
  • Das Problem, dass das Get-AuthenticodeSignature-Cmdlet TimeStamperCertificate nicht auflistet, obwohl die Datei einen Zeitstempel aufweist, wurde behoben.
  • Das Problem, das beim Überprüfen einer beschädigten VHDX-Datei auf einem Hyper-V-Host auftreten kann, wurde behoben; die Fehlermeldung lautet „Multiple Bugcheck BAD_POOL_CALLER (c2) 0000000000000007; Attempt to free pool which was already freed“. Wenn jedoch „Spezieller Pool“ aktiviert ist, lautet die Fehlermeldung „0xCC PAGE_FAULT_IN_FREED_SPECIAL_POOL“.
  • Das Problem, dass die Warnung für die Leerlaufzeitüberschreitung in Remotedesktop nach Ablauf der Leerlaufzeit nicht angezeigt wird, wurde behoben.

  • Das Problem, dass das Sperren eines Zertifikats im Zusammenhang mit einem deaktivierten Benutzerkonto in der Verwaltungskonsole der Zertifizierungsstelle fehlschlägt, wurde behoben. Die Fehlermeldung lautet „Der Benutzername oder das Kennwort ist falsch. 0x8007052e (WIN32: 1326 ERROR_LOGON_FAILURE)“.

  • Das Problem, dass die Multi-Factor Authentication bei mobilen Geräten, die benutzerdefinierte Kulturdefinitionen verwenden, nicht ordnungsgemäß funktioniert, wurde behoben.

  • Das Problem, dass der Clusterknoten bei Verwendung der asynchronen Replikation auf sehr schnellen Datenträgern nicht mehr funktioniert, wurde behoben.

  • Das Problem, dass „ksecdd.sys“ bei LSASS zu einem Kernel-Arbeitsspeicherverlust im ausgelagerten Pool führt, wurde behoben. Dies betrifft in der Regel Server, die einen HTTPS-Dienst hosten und eine große Anzahl von TLS-Handshakes auf Clients verarbeiten.

  • Das Problem mit übermäßiger Arbeitsspeicherauslastung in LSASS beim Auswerten eines LDAP-Filters für eine große Datensatzgruppe auf Domänencontrollern wurde behoben.

  • Das Problem, dass LSASS auf 2012 R2-Domänencontrollern während eines Propagierungsvorgangs der Sicherheitsbeschreibung sehr viel Arbeitsspeicher belegt, wurde behoben. Dieses Problem tritt auf, wenn eine Sicherheitsbeschreibung für ein Stammobjekt mit vielen Nachfolgerelementen geändert wird. Darüber hinaus ist „Gilt für“ auf „Dieses und alle untergeordneten Objekte“ festgelegt.

  • Das Problem, dass Konsolen- und RDP-Anmeldungen beim Anwenden von Benutzerprofileinstellungen aufgrund eines Deadlocks zwischen DPAPI/LSASS und RDR dauerhaft nicht mehr reagieren, wurde behoben. Sobald der Deadlock auftritt, schlagen Neuanmeldungen bis zum Neustart des Anmeldecomputers fehl.

  • Das Problem, dass beim Ausführen von TPM-bezogenen Vorgängen mithilfe von PowerShell-Befehlen auf einer virtuellen Maschine die TPM-Unterstützung fehlschlägt, wurde behoben. Beispielsweise wird beim Ausführen eines Get-TPM-Vorgangs die folgende Fehlermeldung generiert: „get-tpm : Ein interner Fehler wurde festgestellt. (Ausnahme von HRESULT: 0x80290107). In Zeile: 1 Zeichen: 1“.

  • Die OIDC-Abmeldung mithilfe von Verbund-LDPs wird nun unterstützt. Dies ermöglicht Kioskszenarien, in denen mehrere Benutzer seriell bei einem einzelnen Gerät angemeldet sind, das einen LDP-Verbund aufweist.

  • Das Problem mit WinHello, dass CEP- und CES-basierte Zertifikate nicht mit gMSA-Konten verwendet werden können, wurde behoben.

  • Die RPC-Zuverlässigkeit beim Senden großer Daten-BLOBs wurde verbessert.

  • Das Problem, dass beim Anmelden an einem Remotedesktopserver mithilfe einer Smartcard der Server manchmal nicht mehr reagiert, wurde behoben.
  • Das Problem, dass „Hibernate Once/Resume Many“ (HORM) unter Windows Server 2016 IoT mit Unified Write Filter (UWF) nicht aktiviert werden konnte, wurde behoben.
  • Das Problem, dass durch das Löschen eines Objekts mit vielen Links in Active Directory die Replikation mit dem Ereignis 1084 und der Fehlermeldung 8409 „Ein Datenbankfehler ist aufgetreten“ abgebrochen wird, wurde behoben. Weitere Informationen finden Sie in KB3149779.
  • Das Problem, dass Windows Server 2016-Domänencontroller (DC) möglicherweise Überwachungsereignisse mit der ID 4625 und 4776 protokollieren, wurde behoben. Die Domänencontroller verwenden Microsoft Windows Security-Informationen, die abgeschnittene Benutzernamen und Domänennamen für Anmeldungen durch Clientanwendungen aufweisen, die „wldap32.dll“ verwenden.
  • Die Zugriffsverletzung in LSASS, die beim Start der Bedingungen für die Domänencontrollerfunktion auftritt, wurde behoben. Eine Racebedingung verursacht die Zugriffsverletzung, wenn Kontoverwaltungsaufrufe erfolgen, während die Datenbank interne Metadaten aktualisiert. Eine Kennwortzurücksetzung oder -änderung zählt zu den Verwaltungsaufrufen, durch die dieses Problem ausgelöst werden kann.
  • Das Problem, dass der Windows Server Essentials-Speicherdienst nicht mehr funktioniert, wenn ein mehrstufiger virtueller Datenträger in einem Speicherpool, der HDD und SSD aufweist, erstellt wird, wurde behoben.
  • Das Problem, dass das Erweitern eines freigegebenen Clustervolumes (Quelldatenträger) über 2 TB hinaus mithilfe der Datenträgerverwaltung in der Speicherreplikatfunktion von Windows Server 2016 Datacenter Edition fehlschlägt, wurde behoben. Die Fehlermeldung lautet „Auf mindestens einem Datenträger steht nicht genügend Speicherplatz zur Verfügung, um den Vorgang fertig stellen zu können“. Dasselbe Problem kann bei Verwendung des Resize-Partition-PowerShell-Cmdlets auftreten. In diesem Fall lautet die Fehlermeldung „Unzureichende Kapazität“.
  • Das Problem, dass die interne Windows-Datenbank (Windows Internal Database, WID) auf AD FS-Servern unter Windows Server 2016 manche Einstellungen aufgrund einer Fremdschlüsseleinschränkung nicht synchronisieren kann, wurde behoben. Zu diesen Einstellungen zählen die ApplicationGroupId-Spalten der Tabellen „IdentityServerPolicy.Scopes“ und „IdentityServerPolicy.Clients“. Das Fehlschlagen der Synchronisierung kann zu einem unterschiedlichen Verhalten bei Ansprüchen, Anspruchsanbietern und Anwendungen zwischen primären und sekundären AD FS-Servern führen. Wenn Sie darüber hinaus die primäre WID-Rolle auf einen sekundären Knoten verschieben, können Sie Anwendungsgruppen nicht mit der Benutzeroberfläche der AD FS-Verwaltung verwalten. Nach dem Anwenden des Patches werden neue Anwendungsgruppen ordnungsgemäß synchronisiert. Löschen Sie vorhandene vertrauende Seiten (Relying Parties, RP), die nicht synchronisiert werden, vor der Installation des Patches, und erstellen Sie sie nach der Installation des Pakets erneut.
  • Der Fehler (STOP 0x9f) in „wmbclass.sys“, der nach der Aktivierung des Energiesparmodus bei Verwendung bestimmter MBN-Adapter auftritt, wurde behoben.

Wenn Sie frühere Updates installiert haben, werden nur die neuen Korrekturen aus diesem Paket heruntergeladen und auf Ihrem Gerät installiert.

Weitere Informationen zu den behobenen Sicherheitsanfälligkeiten finden Sie im Leitfaden für Sicherheitsupdates.

Hinweis: Dies ist eine erneute Veröffentlichung, die Verbesserungen bei Windows Server 2016 beinhaltet. Wenn Sie das Update vom 25. September 2017 installiert haben und kein Interesse an diesen Verbesserungen haben, können Sie dieses Update überspringen.

Bekannte Probleme bei diesem Update


Problembeschreibung Problemumgehung
Nach der Installation dieses Updates treten beim Herunterladen von Updates mithilfe von Expressinstallationsdateien möglicherweise Fehler auf. Dieses Problem wurde in KB4041688 behoben.

Bei Benutzern, die eine größere Textgröße für Symbole verwenden (Anzeigeeinstellungen in der Systemsteuerung) können unter Umständen Probleme beim Start von Internet Explorer auftreten.

Reduzieren Sie die Textgröße für Symbole auf einen kleineren Wert oder verwenden Sie die Einstellung Die Größe aller Elemente ändern, um dieses Problem zu beheben.

Microsoft arbeitet an einer Lösung und wird in einer zukünftigen Veröffentlichung ein Update bereitstellen.

 

Beziehen dieses Updates


Das eigenständige Paket für dieses Update finden Sie auf der Microsoft Update-Katalog-Website.

 

Dateiinformationen

Eine Liste der Dateien, die in diesem Update bereitgestellt werden, finden Sie im Dokument mit Dateiinformationen für das kumulative Update 4038801.