KB4056890 – Windows Server 2016 HyperV Probleme
In dieser Woche kam unsere Technik einem besonderen Phänomen beim Windows Server 2016 auf die Spur: Sowohl bestehende als auch vollständig neu installiere Server haben nach der Installation des KB4056890 ein Performance-Problem. Darüber hinaus lassen sich virtuelle Maschinen auf dem HyperV-Server, sowohl einzeln als auch in Clustern, nicht mehr vollständig herunterfahren.
Sowohl beim Versuch des Herunterfahrens, als auch bei LiveMigrationen (im finalen Prozess auf dem Quell-Server) bleiben die VM im Status „Beenden“ stecken; teilweise wechseln diese später in den Zustand „Beenden-Kritisch“.
In Einzelfällen wurde auch beobachtet, dass auch die Erstellung von Snapshots bei 9% einfach stehen bleibt. (Der Snapshot wird angelegt, allerdings werden glücklicherweise noch keine Diff-Disks erzeugt.)
Ein vollständig neu installierter Server (jedoch auf anderer Server- und Prozessorgeneration) zeigte nach der Installation des benannten KB4056890 innerhalb von 24 Stunden ein identisches Verhalten.
Ob der Server im Cluster läuft oder „einzeln“ spielte hierbei keine Rolle.
Kurzfristige Abhilfe schafft ein Reboot des Hosts. Besonders brisant: Da LiveMigration nicht funktioniert müssen hierzu alle VM heruntergefahren werden, was nicht korrekt funktioniert.
Wir haben uns zur Schadenminimierung für folgende Vorgehensweise entschieden:
- Alle VMs der betroffenen Hosts werden innerhalb eines Wartungsfensters heruntergefahren
- Nachdem keine Aktivität auf den VHD zu erkennen ist, werden die Maschinen aus dem Cluster (sofern zutreffend) entfernt, um ungewollte Failover-Effekte zu vermeiden
- Sofern im Cluster wird der Host dort pausiert
- Nach dem Reboot des Hosts wird das KB4056890 entfernt (Kommando: wusa.exe /uninstall /kb:4056890 )
- Nach einem erneuten Reboot können die VM wieder in Betrieb genommen werden
In einem Test-Szenario mit zwei Servern HP DL360 Gen8 trat das Problem konstant erneut auf, sofern das KB nicht deinstalliert wurde.
Da bei den VM, welche im Status „Prüfpunkt wird erstellt…“ feststeckten keine Datensicherung möglich war, haben wir uns dazu entschieden hier die VHD durch Kopieren zu sichern. (Im Nachhinein war zwar keine einzige Datei beschädigt, was vorher jedoch nicht sicher war.)
Ein weiterer Nebeneffekt: Systeme, auf welchen das KB installiert ist, sind nicht kompatibel für LiveMigration mit Systemen ohne das entsprechende KB. Dies ist allerdings (mit Blick auf die enthaltenen Meltdown und Spectre-Updates) plausibel, führte für allerdings dazu, dass wir unsere Cluster neu validiert haben, um die Betriebssicherheit zu maximieren.
Vollkommen untypisch für derartige Probleme fanden sich keinerlei Fehlereinträge und Warnungen im Eventlog. Eine erste schnelle Recherche im Internet zeigte bisher keinerlei vergleichbare Berichte.
Fazit: Wir können absolut nicht dazu raten, das KB zu installieren. Wir können jedoch aufgrund der Brisanz von Spectre und Meltdown auch nicht davon abraten. Es bleibt jedem Administrator selbst überlassen zwischen Betriebssicherheit und Informationssicherheit abzuwägen. Eine Option könnte sein, nur die Hosts, auf denen RDS-Server laufen, mit dem Patch zu versehen. (Mit Blick auf die Wahrscheinlichkeit der Fremdcode-Ausführung.) Ob dies allerdings eine gute Idee ist, muss erneut abgewogen werden, da KB4056890 im Zusammenhang mit RDS Servern nach ersten Meldungen zu erheblichen Performance-Einbußen führt.
Fragen zum Thema IT Sicherheit? https://skysystems.it/leistungen/sicherheit/
