Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Server & Netzwerk 27.06.2026 · 4 min Lesezeit

Windows Server 2012 R2: Azure Arc ESU-Updates rollen teils zurück

Bei Windows Server 2012 und 2012 R2 im Extended Security Update Programm gibt es laut BornCity aktüll Installationsprobleme, wenn die Systeme über Azure Arc verwaltet werden. Sicherheitsupdates werden zwar angeboten, können aber fehlschlagen und anschliessend einen Rollback auslösen. Für Betreiber alter Server ist das vor allem ein Betriebs- und Compliance-Risiko.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Windows Server 2012 R2 mit Azure Arc ESU Update Rollback, Server Rack, getrennte Cloud und IT News Grafik zu fehlerhaften Extended Security Updates.

Windows Server 2012 und 2012 R2 laufen in vielen Unternehmen nur noch wegen Alt-Anwendungen oder langer Migrationspfade. Genau dort sind stabile Extended Security Updates Pflicht. Umso heikler ist die aktuelle Meldung von BornCity, dass Azure-Arc-basierte ESU-Installationen fehlschlagen und anschliessend Rollbacks auslösen können.

Meldung und Einordnung

BornCity berichtet am 27. Juni 2026 über Probleme bei der Update-Installation auf Windows Server 2012 und Windows Server 2012 R2, sofern diese Maschinen über Azure Arc verwaltet und im ESU-Programm betrieben werden. Laut dem Bericht werden Sicherheitsupdates weiterhin angeboten, die Installation kann jedoch scheitern und danach in einen Rollback laufen.

Das klingt zunächst wie ein klassischer Patch-Bug, hat für den Betrieb aber grössere Folgen. Wer Windows Server 2012 oder 2012 R2 im Unternehmen noch produktiv einsetzt, bewegt sich bereits ausserhalb des normalen Support-Lebenszyklus und verlässt sich für Risikoreduktion auf ESU. Wenn genau dieser Pfad stört, entstehen schnell Lücken bei Compliance, Nachweisführung und tatsächlichem Schutzstand.

Technischer Kontext rund um ESU und Azure Arc

Microsoft beschreibt in seiner Azure-Arc-Dokumentation, dass Windows Server 2012 und 2012 R2 über Arc für Extended Security Updates vorbereitet und versorgt werden können. Dazu müssen die Maschinen korrekt an Azure Arc angebunden, für ESU berechtigt und an den jeweiligen Update-Prozess gekoppelt sein. In genau diesem Verwaltungsmodell sieht BornCity nun Probleme bei der Installation.

Wichtig ist der Unterschied zwischen grundsätzlicher Berechtigung und erfolgreicher Einspielung. Ein Server kann formal für ESU angemeldet sein und trotzdem im praktischen Patch-Lauf scheitern. Für Admins reicht daher nicht der Blick auf ein Häckchen im Azure-Portal. Entscheidend sind Installationsstatus, Event-Logs, Servicing-Fehler und die Frage, ob der Sicherheitsstand danach wirklich aktiv ist oder stillschweigend auf alten Stand zurückfaellt.

PunktStand laut QuellenBedeutung für Admins
Betroffene PlattformenWindows Server 2012 und 2012 R2Vor allem Alt-Systeme mit Fachanwendungen oder Spezialrollen
VerwaltungswegAzure Arc mit ESUArc- und Update-Manager-Status aktiv prüfen
ProblemUpdate-Installation kann scheitern und Rollback auslösenPatch-Erfolg nicht nur gemeldet, sondern technisch verifizieren
RisikoSicherheitsupdates nominell verfügbar, praktisch aber nicht installiertFalse Sense of Security und mögliche Compliance-Lücke
Nächster SchrittLogs, Patch-Stand und Migrationsplan prüfenAlt-Systeme priorisiert dokumentieren und absichern

Warum das im KMU-Betrieb kritisch ist

In kleineren und mittleren Umgebungen hängen alte Windows-Server oft an besonders zähen Workloads: Branchensoftware, Alt-Datenbanken, Domainenrollen, Scan- oder ERP-Nebensysteme. Solche Systeme werden selten gern angefasst. Wenn ESU-Updates dann fehlschlagen, bleibt das Problem leicht unentdeckt, weil das System weiterhin startet und nur im Detail ungepatcht bleibt.

Für Audits und Versicherungsfragen ist das unschön. Ein Server kann als verwaltet gelten, ohne den erwarteten Schutzstand zu erreichen. Kommt später ein Incident, muss das Unternehmen nachvollziehen können, ob das Update nur angeboten oder wirklich erfolgreich installiert wurde. Wer diese Nachweise nicht vorbereitet hat, hat im Ernstfall doppelten Aufwand.

Was Admins jetzt prüfen sollten

  1. Liste aller noch aktiven Windows-Server-2012- und 2012-R2-Systeme aktualisieren.
  2. Prüfen, welche davon über Azure Arc für ESU angemeldet und verwaltet werden.
  3. Letzten erfolgreichen Patch-Stand pro Server schriftlich dokumentieren.
  4. Windows-Update-, CBS- und Servicing-Logs auf Fehler und Rollback-Hinweise durchsuchen.
  5. Azure Arc und Azure Update Manager gegen lokale Ereignisprotokolle gegenprüfen.
  6. Testweise verifizieren, ob nach dem gemeldeten Installationslauf die erwarteten Dateien und Build-Stände tatsächlich vorhanden sind.
  7. Für kritische Systeme ein aktuelles Backup und einen getesteten Restore-Pfad sicherstellen.
  8. Wo möglich, Alt-Server zusatzlich segmentieren und nur notwendige Protokolle freigeben.
  9. Migrationskandidaten neu priorisieren, wenn ESU-Probleme bereits heute Betriebskosten erzeugen.
  10. Fachbereiche informieren, falls Wartungsfenster oder Nacharbeiten an Alt-Systemen nötig werden.

Migrations- und Betriebsfolgen

Die Meldung zeigt erneut, dass Extended Security Updates kein Ersatz für eine Migration sind. ESU ist ein Sicherheitsnetz für übrig gebliebene Systeme, aber keine Strategie für Daürbetrieb. Wenn Patch-Auslieferung, Rollback oder Verwaltungsfehler hinzukommen, steigt der Aufwand für jede weitere Betriebsrunde.

Praxisnah bedeutet das: Alt-Systeme nicht nur weiterlaufen lassen, sondern aktiv nach Kritikalität sortieren. Systeme mit Internetnahe, Domainenrolle, Backup-Bezug oder produktionskritischer Fachsoftware gehören nach oben auf die Liste. Für sie braucht es entweder engere Ueberwachung oder einen beschleunigten Ersatzplan.

Admin-Einschätzung

Diese Meldung ist kein klassischer Zero-Day, aber für viele Bestandsumgebungen trotzdem relevant. Wer Windows Server 2012 oder 2012 R2 noch im ESU-Modell betreibt, muss den Patch-Erfolg ab jetzt strenger verifizieren. Andernfalls entsteht leicht der Eindruck, abgesichert zu sein, obwohl ein Rollback den Sicherheitsstand wieder zurückgesetzt hat.


Quellen

  1. BornCity: Azure-Arc-ESU-Maschinen machen Rollback
  2. Microsoft Learn: ESU über Azure Arc ausliefern
  3. Microsoft Learn: Windows Server 2012 für ESU mit Azure Arc vorbereiten

Passende Anleitungen auf S-EDV

  1. Zero-Trust-Netzwerksegmentierung im KMU: VLANs, Firewall-Regeln und Mikrosegmentierung – SD-WAN-Manager und Auth-Dienste in eigene Segmente trennen und mit Default-Deny arbeiten.
Verwandt

Weiter lesen

Alle Artikel →
CISA Warnung zu kritischer Lantronix EDS5000 Lücke CVE 2025 67038 mit aktiv ausgenutztem Industrie Netzwerkgerät und Cybersecurity Alarm
25.06.2026 ·3 min

CISA warnt: Kritische Lantronix EDS5000-Lücke CVE-2025-67038 wird aktiv ausgenutzt

CISA warnt vor CVE-2025-67038 (CVSS 9.8) in Lantronix EDS5000 Series. Die Lücke wird aktiv ausgenutzt, ermöglicht Code Injection mit Root-Rechten. Teil der BRIDGE:BREAK-Familie. Sofort patchen, Netzwerksegmentierung prüfen.
AryStinger Botnetz infiziert tausende D Link Router weltweit mit Darstellung eines globalen Cyberangriffs, kompromittierten Routern, Botnetz Infrastruktur, weltweiten Netzwerkverbindungen und roter Sicherheitswarnung.
23.06.2026 ·2 min

AryStinger Botnetz infiziert tausende D-Link Router weltweit

Das AryStinger-Botnetz hat ueber 4.000 veraltete D-Link Router infiziert. Die Geraete werden als Proxy-Infrastruktur fuer Scans, Tunnel und Command-Execution missbraucht. Betroffen sind DIR-850L und DIR-818LW.
Oracle Free Tier Cloud Ressourcen werden ohne Ankündigung um 50 Prozent reduziert, dargestellt mit Cloud Dashboard, halbierten Compute Memory Storage Anzeigen und deaktivierten Server Instanzen.
23.06.2026 ·4 min

Oracle halbiert Free-Tier-Cloud-Ressourcen ohne Ankündigung

Oracle hat Anfang Juni 2026 die Ressourcen seines Always-Free-Angebots in der Oracle Cloud Infrastructure (OCI) gekürzt. Die Ampere-A1-Compute-Instanzen wurden von 4 OCPUs und 24 GB RAM auf 2 OCPUs und 12 GB RAM halbiert. Die Änderung erfolgte ohne offizielle Ankündigung, Blogpost oder E-Mail-Benachrichtigung. Deutsche IT-Portale haben bislang nicht berichtet – s-edv.com liefert die Erstberichterstattung.