Aktuelle Windows Server-Updates unterbrechen VPN-, RDP- und RRAS-Verbindungen
Die Windows Server-Updates dieses Monats verursachen eine Vielzahl von Problemen, darunter VPN- und RDP-Konnektivitätsprobleme auf Servern mit aktiviertem Routing and Remote Access Service (RRAS).
RRAS ist ein Windows-Dienst, der zusätzliche TCP-Konnektivitäts- und Routing-Funktionen bietet, einschließlich Fernzugriff oder Site-to-Site-Konnektivität mithilfe eines virtuellen privaten Netzwerks (VPN) oder DFÜ-Verbindungen.
Letzte Woche hat Microsoft im Rahmen des Patch-Dienstags vom Juni 2022 die Updates für Windows Server 2019 2012 R2 KB5014746, Windows Server 2019 KB5014692, Windows Server 20H2 KB5014699 und Windows Server 2022 KB5014678 veröffentlicht.
Allerdings haben Windows-Administratoren nach der Bereitstellung dieser aktuellen Updates mehrere Probleme gemeldet, die erst nach einer vollständigen Deinstallation der Updates behoben werden konnten.
Eines der schwerwiegenderen Probleme besteht darin, dass die Server mehrere Minuten lang einfrieren, nachdem ein Client über SSTP eine Verbindung zum RRAS-Server hergestellt hat.
Die überwiegende Mehrheit der Berichte zu diesen Problemen, die seit Patch Tuesday eingehen, haben ein gemeinsames Thema: Verlust der Remotedesktop- und VPN-Konnektivität zu Servern mit aktiviertem Routing and Remote Access Service (RRAS), auf denen die Windows Server-Updates vom Juni installiert wurden.
„Was ich nach der Installation der Juni-Updates sah, war, dass weder auf der Client- noch auf der Serverseite jemals TCP-Verbindungen hergestellt werden konnten. Ich konnte auch keine einfache RDP-Sitzung auf dem Server durchführen (auch nicht wo). „Ein VPN ist nicht erforderlich, da ich die Verbindung von einem Verwaltungs-PC innerhalb desselben vertrauenswürdigen Subnetzes aus verbinde“, sagte ein Administrator gegenüber BleepingComputer.
„Außerdem konnten keine Remote-VPN/RRAS-Clients eine Verbindung zum Server herstellen (was der Grund war, warum der Server überhaupt für NAT-Routing konfiguriert wurde).“
„SSTP ist vollständig fehlgeschlagen, ebenso wie RDP. Auch RDP ist bei unseren IKE-RRAS-Servern fehlgeschlagen, obwohl die IKE-Verbindungen weiterhin funktionierten (immer noch nicht ganz sicher, wie)“, sagte ein anderer.
„Am Ende haben wir die GCP-Konsolenschnittstelle verwendet, um auf diese Server zuzugreifen und zu verhindern, dass das RRAS-Setup (Routing and Remote Access Service) startet, damit wir nach einem Neustart per Fernzugriff eingreifen und die Patches zurücksetzen können.“
Mehrere andere Administratoren [1, 2, 3, 4, 5, 6] haben ebenfalls auf Reddit und in Kommentaren zu BleepingComputer-Storys berichtet, dass sie Probleme mit LLTP/SSTP-VPN-Clients und RDP haben, die nach der Bereitstellung des Windows Servers vom Juni keine Verbindung herstellen können Aktualisierung.
„Das Problem verschwindet nach dem Rollback. Das Problem trat ein zweites Mal auf, nachdem dieser Patch neu installiert wurde. Das Rollback hat das Problem erneut behoben. Wir haben dieses Problem bei zwei verschiedenen RRAS-Servern an zwei verschiedenen Standorten – einer einzelnen Domäne – festgestellt“, erklärte einer von ihnen.
Obwohl nicht klar ist, was diese Probleme verursacht, hat Microsoft eine „Windows Network Address Translation (NAT) Denial-of-Service-Schwachstelle“ mit der Bezeichnung CVE-2022-30152 behoben, die möglicherweise zu Fehlern in der RRAS-Konnektivität geführt hat.
Da Microsoft diese Verbindungsprobleme noch nicht erkannt und keine Lösung bereitgestellt hat, besteht die einzige Möglichkeit, diese Probleme auf den betroffenen Servern zu beheben, darin, das entsprechende kumulative Update für Ihre Windows Server-Version zu deinstallieren.
Administratoren können dies tun, indem sie einen der folgenden Befehle verwenden:
Da Microsoft jedoch alle Sicherheitsfixes in einem einzigen Update bündelt, werden durch das Entfernen des kumulativen Updates dieses Monats möglicherweise die Fehler behoben, es werden aber auch alle Sicherheitspatches für Schwachstellen entfernt, die während des Juni-Patchdienstags behoben wurden.
Bevor Sie diese Updates deinstallieren, sollten Sie daher sicherstellen, dass dies unbedingt erforderlich ist und dass die Wiederherstellung der RDP- oder VPN-Konnektivität auf Ihren Servern die erhöhten Sicherheitsrisiken wert ist.
Wie wir bereits berichtet haben, arbeitet Microsoft auch an der Behebung eines weiteren bekannten Problems, das sowohl Client- als auch Serverplattformen betrifft und nach der Installation der Windows-Updates vom Juni zu Verbindungsproblemen bei der Verwendung von WLAN-Hotspots führt.
Darüber hinaus können die Windows-Updates dieses Monats auch zu Sicherungsproblemen auf Windows Server-Systemen führen, da einige Apps keine Daten mithilfe des Volume Shadow Copy Service (VSS) sichern können.
Microsoft teilte BleepingComputer mit, dass Administratoren die NAT-Funktion auf RRAS-Servern vorübergehend deaktivieren können, um diese Probleme zu beheben, bis ein Fix veröffentlicht wird.
„Wir sind uns des Problems bewusst und arbeiten an einer Lösung. Kunden, bei denen dieses Problem auftritt, können die NAT-Funktion auf ihrem RRAS-Server vorübergehend deaktivieren“, sagte ein Microsoft-Sprecher gegenüber BleepingComputer.
Update 21.06.22: Erklärung von Microsoft hinzugefügt
Microsoft behebt ein Problem, bei dem WSUS-Server Windows 11 22H2-Updates nicht pushen
Microsoft behebt den Windows-Fehler, der dazu führt, dass der Datei-Explorer einfriert
Microsoft gibt den OEM-Anbietern die Schuld an Bluescreens wegen „nicht unterstützter Prozessoren“.
MSI: Aktuelle Welle von Windows-Bluescreens im Zusammenhang mit MSI-Motherboards
Neue Windows-Updates verursachen UNSUPPORTED_PROCESSOR-Bluescreens