[Original 14.11.22]: Microsoft hat gestern zwei Einträge in den bekannten Problemen hinzugefügt. Das erste Problem, das unter Windows 11 und Windows 10 auftreten kann betrifft Direct Access. Hier kann die Verbindung nicht wiederhergestellt werden, wenn es Verbindungsprobleme gab.
Das Problem tauchte mit dem Oktober-Update KB5019509, bzw. Novemberupdate KB5019961 auf. „Windows-Geräte, die zu Hause von Verbrauchern verwendet werden, oder Geräte in Organisationen, die Direct Access nicht für den Remotezugriff auf die Netzwerkressourcen der Organisation verwenden, sind nicht betroffen.“
Dieses Problem wurde jetzt mit einem Known Issue Rollback (KIR) Update behoben. Dies kann bis zu 24 Stunden dauern, bis die Änderung greift. Oder man startet neu.
Das zweite Problem kam mit dem November-Sicherheitspatch und betrifft alle Windows- und Server-Versionen und wurde jetzt bestätigt. Es handelt sich um ein Anmeldefehler und andere Probleme im Zusammenhang mit der Kerberos-Authentifizierung. Auch hier schreibt Microsoft: „Windows-Geräte, die von Privatpersonen zu Hause verwendet werden, oder Geräte, die nicht Teil einer Domäne vor Ort sind, sind von diesem Problem nicht betroffen. Azure Active Directory-Umgebungen, die nicht hybrid sind und keine Active Directory-Server vor Ort haben, sind nicht betroffen.“
Dieses Problem kann sich auf jede Kerberos-Authentifizierung in Ihrer Umgebung auswirken. Einige Szenarien, die betroffen sein können:
- Die Anmeldung von Domänenbenutzern kann fehlschlagen. Dies kann auch die Active Directory Federation Services (AD FS)-Authentifizierung beeinträchtigen.
- Gruppenverwaltete Dienstkonten (gMSA), die für Dienste wie Internetinformationsdienste (IIS Web Server) verwendet werden, können möglicherweise nicht authentifiziert werden.
- Remote Desktop-Verbindungen mit Domänenbenutzern können möglicherweise nicht hergestellt werden.
- Sie können möglicherweise nicht auf freigegebene Ordner auf Workstations und Dateifreigaben auf Servern zugreifen.
- Druckvorgänge, die eine Domänenbenutzerauthentifizierung erfordern, schlagen möglicherweise fehl.
- In der Ereignisanzeige erscheint höchstwahrscheinlich eine Ereignis-ID 14 im Abschnitt „System“
Microsoft arbeitet hier an einer Lösung. Sie gehen davon aus, dass eine Lösung in den nächsten Wochen zur Verfügung stehen wird. Microsoft wird diese Info weiter aktualisieren. Mehr dazu unter:
- learn.microsoft.com/direct-access-might-be-unable-to-reconnect-after-your-device-has-connectivity-issues
- learn.microsoft.com/sign-in-failures-and-other-issues-related-to-kerberos-authentication
[Update 17.12.2022]: Microsoft hat den oben beschriebenen Fehler mit der KB5021255, dem Dezember-Sicherheitsupdate, oder späteren behoben. Dadurch ist eine Lösung über KIR nicht mehr notwendig.
Windows 11 Tutorials und Hilfe
- In unserem Windows 11 Wiki findet ihr sehr viele hilfreiche Tipps und Tricks.
- Falls ihr Fragen habt, dann stellt diese ganz einfach bei uns im Forum.
- Installationsmedien: Aktuelle Windows 11 ISOs findet ihr hier: 21H2, 22H2 (22621), 22H2 (22622), 22H2 (22623) Ansonsten immer in der rechten Sidebar.
- Windows 11 neu clean installieren Tipps und Tricks.
- Windows 11 mit lokalem Konto auch Offline installieren.
- Windows 11 Inplace Upgrade Reparatur oder Feature Update.
- Automatisch anmelden Pin entfernen Windows 11.
- Alle Beiträge zu Windows 11 im Blog findet ihr über diese Seite. Wobei auch alle anderen Artikel interessant sein können.
Schade – aber die Sicherheit und deren Verbesserung ist ein komplexes Thema. Ich hatte ein Notebook mit 22H2 aufgesetzt – zum Test. Die Warnungen und Fehler sin enorm hoch. (WMI ID 63; LSA ID 6155 (10); Eventlog ID 1108 (20); usw. Leider keine Lösungen in Sicht. Vieles selbst versucht, ist beim Versuch geblieben, die Warnungen und Fehler sind aktuell. Das Risiko 22H2 einzuführen ist zu hoch und kostet unnötig. Ob letztlich die speziellen Software Lösungen lauffähig sind – soweit bin ich nicht gekommen. Die Migration ruht jetzt – bis Microsoft – Lösungen abschliessend veröffentlichen wird.
WMI (ID:63) müsste man schauen, was im Text drein steht. Vermutlich läuft da etwas mit Benutzerechten. Dieser Fehler existiert bei mir nicht.
LSA (ID:6155) ist „by design“. Die Warnung bekommt man nur weg, wenn man den Rechner in einer Domäne anmeldet und zu Module entsprechend zertifizieren lässt.
Eventlog (ID:1108) kommt vermutlich vom Anbieter “ „Microsoft-Windows-Security-Auditing“, welcher irgendein Ereignis an die Ereignisprotokollierung schickt, welches nicht verarbeitet werden kann. Das ist bestimmt ein Bug im Anbieter. In der aktuellen Dev erscheint er jedenfalls nicht mehr.
Bis auf die Warning der WMI (den kann ich gerade nicht zuordnen) haben die anderen beiden Warnungen und Fehler keine Auswirklungen auf das System. Ob Microsoft da mal was generell ändert, keine Ahnung. Die existieren schon so lange. Ich ignoriere die einfach und gut.
Danke für die Hinweise. ID 63 ist eine WMI Warnung – ausgelöst durch das Intel IntelMEProv. Kann nur behoben werden a) durch Intel; b) durch MS. Der zuständige Timer bei MS ist auf 0 ms gesetzt. In einer C Routine ist es möglich den Timer auf 2 – 3 ms zu setzen oder mit Powershell aber da kenne ich das zuständige Objekt bzw. die Klasse nicht. Der Aufwand für ein bisschen Kosmetik – ist zu hoch.
Die Updates sind aber nicht nur für 22H2.
Dieser Mist hat und tausende Kollegen ausm AO-VPN genommen…
Selbst der Vorstand stand auf der Matte.