Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Windows Server 27.05.2026 · 2 min Lesezeit

Patchday-Bug: Windows Server 2016 KB5087537 bricht Domänencontroller

Microsoft bestätigt eine bekannte Einschränkung im Mai-Update KB5087537: Auf Windows Server 2016 mit exakt 15-stelligem Hostnamen scheitert der DCLocator-Aufruf mit ERROR_INVALID_PARAMETER. Anwendungen finden ihren Domänencontroller nicht mehr.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Server-Rack im Rechenzentrum – Symbolbild für Windows-Server-Domänencontroller

Microsoft hat im Knowledge-Base-Artikel zu KB5087537 ein neues bekanntes Problem im Mai-Patch für Windows Server 2016 dokumentiert: Auf Servern, deren Computername exakt 15 Zeichen lang ist, scheitert die Domain-Controller-Auflösung nach dem Update. Der zentrale DCLocator-Aufruf liefert ERROR_INVALID_PARAMETER zurück – Anwendungen, Verwaltungstools und auch DFS-Namespace-Operationen finden ihren Domänencontroller nicht mehr.

Was genau bricht

Konkret betroffen sind die Domain-Controller-Discovery-APIs rund um DsGetDcName(). Symptome reichen vom Fehler im Eventlog (Netlogon-Event 5719: "No domain controller could be contacted") bis zu fehlschlagenden Vertrauensstellungen. Die 15-Zeichen-Grenze ist nicht zufällig – sie entspricht der historischen NetBIOS-Namenslänge, die Microsoft trotz jahrelanger DNS-Migration weiterhin in seinen AD-Schichten verarbeitet. Im Updatepfad von KB5087537 wurde offenbar eine Stringprüfung verschärft, die genau diese Randbedingung nun fehlerhaft als ungültig markiert. Microsoft bestätigt das Verhalten und arbeitet an einer Korrektur, nennt aber bislang keinen Hotfix-Termin.

Das Problem trifft vor allem Bestandsumgebungen, in denen historische Naming-Conventions die NetBIOS-Maximalwerte ausschöpfen – etwa Server mit Namen wie SRV-FILESERVER1 (15 Zeichen). Wer das Update bereits eingespielt hat und seitdem Authentifizierungsfehler, GPO-Verarbeitungsabbrüche oder DFS-Namespace-Aussetzer sieht, sollte als erstes die Hostname-Länge prüfen. Auch automatisierte Inventarisierungs- und Backup-Tools, die per DsGetDcName() einen Schreib-DC suchen, können in dieser Konstellation Folgefehler werfen, die zunächst auf andere Komponenten hindeuten.

Was Admins jetzt tun sollten

  1. Auf allen Windows-Server-2016-DCs den Hostnamen-String zählen – Treffer bei genau 15 Zeichen sind Risikokandidaten.
  2. Schnelle Diagnose via nltest /dsgetdc:<domain> /pdc – liefert das den dokumentierten Fehler-Code, ist die Maschine betroffen.
  3. Workaround: Server auf höchstens 14 Zeichen umbenennen. Bei Domain-Controllern aufwendig und nur als Ultima Ratio sinnvoll – vorher Replikation, DNS-Einträge und SPNs einplanen.
  4. Alternative: Patch über WSUS/SCCM zurückrollen oder per wusa /uninstall /kb:5087537 entfernen, bis Microsoft einen Hotfix liefert.
  5. Neue Server vorerst mit Hostnames bis 14 Zeichen bereitstellen, um nicht in die nächste Falle zu laufen.

Wirklich gelöst ist das Thema damit nicht: Windows Server 2016 ist seit Januar 2022 nur noch im Extended-Support, der inzwischen bis 2027 verlängert wurde. Microsoft arbeitet laut eigenem Statement an einer Korrektur, eine konkrete Zeitleiste oder einen Out-of-Band-Hotfix gibt es bislang nicht. Für viele Mittelstands-Umgebungen ist das ein weiterer Baustein im Mosaik, das spätestens jetzt eine Migrationsplanung auf Server 2022 oder 2025 erzwingt – allein, weil sich die Häufung bekannter Patchday-Regressionen auf der alten Plattform deutlich erhöht. Wer Server 2016 weiterhin produktiv betreibt, sollte die monatlichen Bug-Listen im Microsoft-Health-Dashboard künftig vor dem Roll-out lesen.

Quellen: BleepingComputer – Domain Controller lookup may fail on Windows Server 2016, Microsoft Support – KB5087537 (OS Build 14393.9140)