Thought Leadership
Nach dem Mai-Update KB5087537 scheitert die Domänenauflösung unter Windows Server 2016, wenn der Hostname exakt 15 Zeichen lang ist. Microsoft prüft den Bug.
Der Softwarekonzern Microsoft hat ein neues technisches Problem innerhalb seiner Server-Betriebssysteme offiziell bestätigt. Der Fehler tritt nach der Installation des kumulativen Sicherheitsupdates KB5087537 vom Mai 2026 auf. Betroffen sind Systeme, die unter Windows Server 2016 betrieben werden. Das Besondere an diesem Infrastrukturfehler ist seine hochgradig spezifische Bedingung: Die Störung in der Netzwerkkommunikation manifestiert sich ausschließlich auf Servern, deren zugewiesener Hostname eine Länge von exakt 15 Zeichen aufweist.
Bei Systemen mit kürzeren oder längeren Computernamen wurden nach derzeitigem Kenntnisstand keine Beeinträchtigungen gemeldet. Da die Aktualisierung wichtige Sicherheitskorrekturen für das Unternehmensnetzwerk enthält, stehen IT-Administratoren in Firmenumgebungen vor der Herausforderung, zwischen der Systemstabilität und dem notwendigen Patch-Management abzuwägen.
Ursache beim Aufruf von DCLocator
Der Fehler beeinträchtigt die grundlegende Namensauflösung und Verzeichnisdienst-Suche im lokalen Netzwerk. Wenn ein betroffener Server versucht, über den integrierten Dienst DCLocator einen Domain Controller zu finden, bricht der Prozess ab. Technisch äußert sich dies darin, dass Programmschnittstellen und administrative Werkzeuge beim Abfragen der Domänen-Infrastruktur die Fehlermeldung ERROR_INVALID_PARAMETER zurückgeben. Ein typisches Szenario ist die Überprüfung der Netzwerkkonnektivität über das Kommandozeilenwerkzeug nltest.
Der Befehl zum Auffinden des primären Domain Controllers schlägt fehl, da der Parser innerhalb des Netlogon-Dienstes die Namenslänge fehlerhaft verarbeitet. Da die 15-Zeichen-Grenze historisch mit der maximalen Länge von NetBIOS-Computernamen korreliert, vermuten Systemanalysten einen Logikfehler bei der internen Zeichenkettenverarbeitung des Betriebssystems, der durch die Codeänderungen im Mai-Patch unabsichtlich eingeführt wurde.
Auswirkungen auf DFS-Namespaces und Administration
Die Unfähigkeit, einen Domain Controller im Active Directory zu lokalisieren, zieht weitreichende Konsequenzen für die gesamte IT-Infrastruktur nach sich. Zahlreiche administrative Anwendungen und administrative Dienste sind darauf angewiesen, kontinuierlich Konfigurationsdaten vom Verzeichnisdienst abzurufen. Ein dokumentierter Schwerpunkt der Störung betrifft das Distributed File System, allgemein als DFS bezeichnet. Administratoren berichten, dass die Verwaltung von DFS-Namespaces nach dem Einspielen des Updates KB5087537 fehlschlägt.
Bei Abfragen meldet das System, dass der Namespace nicht abgefragt werden kann, da der RPC-Server nicht verfügbar ist. Der Hintergrunddienst dfssvc.exe kann sich aufgrund der fehlerhaften Domänenauflösung nicht korrekt an den entsprechenden Endpunkten registrieren. Dies blockiert den Zugriff auf freigegebene Netzwerkordner im gesamten Unternehmensnetzwerk, was den regulären Geschäftsbetrieb in betroffenen Abteilungen massiv stören kann.
Support für Windows Server 2016 bis 2027
Obwohl Windows Server 2016 ein älteres Betriebssystem darstellt, ist die Relevanz dieses Fehlers im Enterprise-Sektor hoch. Microsoft hatte den regulären, sogenannten Mainstream-Support für diese Version bereits im Januar 2022 offiziell beendet. Aufgrund der weiten Verbreitung in geschäftskritischen Altsystemen und der komplexen Migrationspfade in Großunternehmen decidió sich der Hersteller jedoch, den erweiterten Supportzeitraum um fünf Jahre zu verlängern.
Dies stellt sicher, dass Unternehmen bis ins Jahr 2027 hinein mit kritischen Sicherheitsupdates versorgt werden. Viele IT-Abteilungen betreiben diese Serverplattform in isolierten Netzwerksegmenten für spezialisierte Datenbanken oder ältere ERP-Anwendungen. Ein Fehler in einem solch fundamentalen Update zwingt Administratoren zu manuellen Eingriffen in produktiven Legacy-Umgebungen, da das Ignorieren des Patches aufgrund ungeschützter Sicherheitslücken keine nachhaltige Option darstellt.
Serie von Update-Fehlern bei den Windows-Server-Plattformen
Der aktuelle Vorfall reiht sich ein in eine Kette von softwareseitigen Komplikationen bei den Windows-Server-Plattformen im Jahr 2026. Erst im Vormonat, im April 2026, musste Microsoft Notfall-Updates außerhalb des regulären Veröffentlichungszyklus bereitstellen. Damals verursachte der Patch KB5082063 kontinuierliche Neustart-Schleifen auf Servern, welche die Rolle eines Domain Controllers innehatten, da der Local Security Authority Subsystem Service, kurz LSASS, beim Systemstart abstürzte.
Zudem gab es Vorfälle bei der Einführung von Windows Server 2025, bei denen Systeme unerwartet in den BitLocker-Wiederherstellungsmodus booteten. Auch ein älterer Fehler, der seit September 2024 existierte und erst im April 2026 vollständig behoben wurde, sorgte für Aufsehen: Hierbei wurden Server unter Windows Server 2019 und 2022 durch fehlerhafte Zuweisungen im Windows-Update-Dienst ungeplant und automatisch auf die Version Windows Server 2025 aktualisiert. Im Januar 2026 kam es zudem zu Update-Fehlern in restriktiven Netzwerkomgebungen.
Zeitpunkt der Behebung noch nicht bekannt
Microsoft hat in seinen offiziellen Support-Dokumenten bestätigt, dass eine detaillierte Untersuchung des Fehlers eingeleitet wurde. Ein konkreter Zeitplan für die Veröffentlichung eines korrigierenden Updates oder eines Hotfixes wurde von dem Softwarehersteller bisher jedoch nicht kommuniziert. Für betroffene IT-Verantwortliche existieren in der Praxis derzeit nur zwei temporäre Lösungswege, um die Funktionalität des Active Directorys und der DFS-Namespaces kurzfristig wiederherzustellen.
Die erste Möglichkeit besteht in einer manuellen Änderung des Hostnamens der betroffenen Server, sodass dieser entweder weniger als 15 Zeichen oder mehr als 15 Zeichen umfasst, wodurch die fehlerhafte Code-Schleife umgangen wird. Sollte dies aufgrund von harten Softwareabhängigkeiten oder Namenskonventionen im Unternehmen nicht möglich sein, bleibt als letzte Maßnahme nur die Deinstallation des Updates KB5087537 über die administrative Konsole, was jedoch das System wieder für die im Patch geschlossenen Sicherheitsrisiken öffnet.
