Microsoft erkent verbindingsproblemen in Direct Access na update

Microsoft erkent dat er problemen zijn ontstaan in Direct Access na een update van vorige week. Gebruikers kunnen daardoor de verbinding met de tool kwijtraken en zo niet meer van een afstand werken. Het bedrijf heeft inmiddels een patch uitgebracht.

De problemen in Direct Access ontstonden eerder deze week, maar lijken te zijn ontstaan door KB501950, die halverwege oktober uitkwam. Microsoft schrijft dat het een Known Issue Rollback uitvoert voor die update. Die zorgt namelijk voor problemen in Direct Access. Dat is een feature waarmee gebruikers van een afstand kunnen inloggen op een Windows-pc. Andere vpn-diensten en remote access solutions zouden niet getroffen zijn, schrijft het bedrijf. De problemen ontstaan niet voor alle gebruikers, maar in sommige gevallen kunnen zij wel de verbinding verliezen met Direct Access en daardoor met hun verbonden computers. Dat gebeurt specifiek als de verbinding tijdelijk wegvalt. Door de fout kan die verbinding dan niet meer opnieuw worden gemaakt.

Het probleem zit in zowel Windows 10 en 11 als in Windows Server. Microsoft schrijft dat er meerdere versies getroffen zijn. Dat zijn Windows 10- en 11-versies 21H1 en 22H2 en Windows 10-versies 21H1 en 20H2, Windows 10 Enterprise LTSC 2019 en Windows Server 2019 en 2022.

Systeembeheerders moeten een Known Issue Rollback group policy installeren en configureren om het probleem op te lossen. Daarvoor heeft Microsoft meerdere group policies uitgebracht.

Update Besturingssysteem
KB5018482 Windows 10 20H2 en later
KB5018485 Windows Server 2022
KB5018483 Windows 11 21H2
KB5018427 Windows 11 22H2

Microsoft zegt dat het verder nog werkt aan een definitieve oplossing in plaats van een rollback. Die komt 'in de komende weken' uit.

Door Tijs Hofmans

Nieuwscoördinator

15-11-2022 • 09:31

40 Linkedin

Reacties (40)

40
40
17
1
0
17
Wijzig sortering
Ik vind dit echt een slechte ontwikkeling. Doordat de laatste periode die updates vaak iets stuk maken, gaan bedrijven later en later die updates uitrollen...
Tja stabiliteit en veiligheid zijn natuurlijk de belangrijkste features van een besturingssysteem. Ik werd hierdoor getroffen op mijn werklaptop, dus ik vind het fijn dat MS het erkent en het snel oppakt. Fouten maken is menselijk, fouten oplossen niet altijd
Nu het je treft heb je deze relatief positieve ervaring, maar ik vermoed dat je niet als beheerder in de IT werkt? Zo ongeveer elke 3 patch Tuesday's is er iets als dit aan de hand. Van domain controllers die blijven herstarten tot remote access servers (waar Direct Access ook onder valt) die niet meer werken.

Ik wacht voor sommige servers bewust een paar weken met updaten, simpelweg om dit soort problemen te voorkomen. En zelfs dat is lang niet altijd voldoende. Enige tijd geleden had ik wat updates voor mijn RRAS server klaarstaan (dat is dus de VPN / Direct Access oplossing), had 14 dagen gewacht en op de dag dat ik ze installeerde, dag 15, kwamen er problemen naar voren die mij zouden raken. Mijn enige optie was herstarten en alles terugdraaien of niks doen en wachten op de fixes een week of 2 later. Server heeft uiteindelijk 3 weken met een "reboot pending" gestaan. Hele slechte zaak, want andere updates die niet problematisch waren liepen hierdoor serieus vertraging op.
nee joh, je noemt nu een aantal issues met beperkte impact en je gooit dit op een hoop alsof elk bedrijf daar last van heeft. Dat is natuurlijk niet zo.

Het middelgroot bedrijf waar ik werk (200 servers, 5000 gebruikers) gebruiken een otap omgeving voor patching en echt geen enkele problemen gehad in de afgelopen paar jaar met patches en niets hoeven terug te draaien.
Ik zou je aanraden de nieuwsberichten omtrent Windows Updates een beetje actief te gaan volgen. Dan zal je zien dat het niet zomaar uit de lucht gegrepen is.

Januari 2022:
https://www.bleepingcompu...boot-loops-break-hyper-v/

Mei 2022:
https://www.bleepingcompu...ad-authentication-issues/

Juni 2022:
https://www.bleepingcompu...vpn-rdp-rras-connections/
https://www.bleepingcompu...-may-cause-backup-issues/
https://www.bleepingcompu...65-issues-on-arm-devices/

Juli 2022:
https://www.bleepingcompu...-open-after-july-updates/
https://www.bleepingcompu...ks-due-to-recent-updates/

Oktober 2022:
https://www.bleepingcompu...il-after-october-updates/
https://www.bleepingcompu...s-in-out-of-band-updates/
https://www.bleepingcompu...ecent-windows-10-updates/

November 2022:
https://www.bleepingcompu...s-after-november-updates/

En dat is maar een select aantal nieuwsberichten die ik zo snel kon vinden.

Blij dat jullie nergens mee geraakt zijn, ook bij mij hebben lang niet alle bovenstaande zaken voor problemen gezorgd. Maar de trend lijkt mij duidelijk en niet te ontkennen.
Helaas hadden wij van zo ongeveer elk genoemd probleem ook last. Onze IT faciliteiten worden zo divers gebruikt, dat je al die scenario's wel tegenkomt. Maar inderdaad, als je een andere VPN oplossing gebruikt, geen RDP gebruikt, weinig print op diverse types printers en dergelijke, wat een vrij reëel scenario is, dan treft het jou niet hard. Zeker dit DirectAccess probleem heeft ons behoorlijk wat kopzorgen gekost.
OTAP is nou bepaald niet heilig voor patching. Allemaal leuk en aardig, je krjgt niet alles getest, vooral niet met updates van MS welke veel omvattend zijn.
Het is een eerste test en je kijkt even of alles draait, maar de werkelijkheid is dat de echte issues pas in het dagelijkse normale gebruik naar voren komt. Een testomgeving is nooit helemaal representatief.
Wij pakken (groot bedrijf) ook Prod systemen vooraf testen voor de final uitrol, zelden dat daar iets uitkomt. Beste is iets achter de kermis aanlopen (2 tot 3 weken)
2-3 weken is ihmo erg lang op het moment je te maken hebt met een critical security bug. Wacht je dan ook zolang?
Wij patchen OTA 1 dag na patch tuesday. Vervolgens low maintenance productie het weekend na patch tuesday, en high maintenance weer een week later. Dus 1 dag, 1/2 week, 1 1/2 week.
Het is een risico inschatting die we maken, het kan voorkomen dat een vulnerability zo ernstig is dat we een patch via een emergency process vrijgeven of we nemen tijdelijke stappen om ons minder kwetsbaar te maken.
2 - 3 weken lijkt lang, maar dat is over een server landschap van 1500 servers, waar servers tussen zitten die we niet even stil kunnen zetten en 10.000 workstations. De eerste week wordt gebruikt voor testen en approval, dat is ook het moment dat eventuele problemen met een patch publiek bekend worden. Want zelf testen is leuk, maar de echte problemen komen pas wanneer bedrijven het massaal gaan uitrollen. Zo hebben we toch een paar keer een patch in de wacht gezet vanwege bekende problemen.
Workstations gaan we steeds meer wat agressiever patchen, met eventuele risico’s op de koop nemend. De tijd zal ons leren. Dan hebben we nog kritischere workstations die we niet zomaar van de ene op de andere dag kunnen patchen.
We testen zondagochtend met de betrokken partijen (functioneel beheerders, eindgebruikers) na een patchronde. En alle clients worden in het weekend na patch tuesday gepatched. Het grootste deel zijn vdi's, dus dat is makkelijk aan te passen.

Dan hebben we gewoon geluk dat in de paar jaar ik hier werk, nog geen enkele major gehad hebben nav een patch.

Tijdje geleden was een patch die een bootloop op een dc kon veroorzaken. Die hebben we toen gelijk handmatig getest in OTA en vervolgens 1 voor 1 op de DC's. Dat ging allemaal goed, geen problemen gehad.

[Reactie gewijzigd door segil op 16 november 2022 08:06]

2-3 weken is vrij normaal, ook hier. Ik bekijk elke dinsdag of er kritieke updates zijn die van toepassing zijn, die gaan met een paar dagen door. De rest gaat op test en daarna wacht ik rustig de media en Reddit af, voorkomt veel gedoe is mijn ervaring.

Maar soms is het een afweging, zoals Exchange vorig jaar. Of je doet niks en hackers slopen je boel of je doet iets en de update sloopt de boel. Dan is het 2e echt te preferen, hoe beroerd dat ook is.
Ik voeg er nog maar een toe, de november patch Tuesday sloopt nóg meer: https://www.bleepingcompu...troller-freezes-restarts/
Elke 3, zeg maar gerust elke maand tegenwoordig.
In September hebben ze ook nog RDP over UDP gebroken en RDP gateway problemen veroorzaakt, beide met clients op W11 22H2
Ah ja, en ook nog Files copy in Group Policy Preferences met "run in user context" gebroken.
En de maand ervoor was het dan zwarte logon schermen op RDP session host servers met FSLogix door een update.
En je kan zo maar door gaan ...

[Reactie gewijzigd door GoBieN-Be op 15 november 2022 10:16]

En wat dacht van deze: https://borncity.com/win/...t-remote-desktop-gateway/

RD Gateway op 2022 gesloopt na updates. Uiteindelijk hebben we die machines maar allemaal opnieuw geïnstalleerd en de laatste KB's geïnstalleerd voordat we de RDGateway rol weer terug hebben gezet. Heeft ontzettend veel tijd en frustratie gekost...
Ik moet zeggen dat ik daar in het verleden nooit last van had, ben echt wel een tevreden Windows gebruiker. Maar sinds de Windows 11 22H2 update is het echt wel irritant hoor. Sinds die update al twee keer gehad dat ik niet meer via RDS in kon loggen zonder óf een register aanpassing óf het rollbacken van een Windows Update.

De eerste vraag die ik nu krijg van onze supportafdeling is "Heb je Windows 11 22H2 geïnstalleerd?", als ik weer eens bij ze aanklop met verbindingsproblemen. Het is van de zotte dat Windows de compatibility met hun eigen server producten zo regelmatig om zeep weet te helpen. Ik snap echt dat het niet makkelijk is (ik bouw zelf ook software) maar het voelt knullig. Mat name ook omdat zeker één van de problemen al maanden van tevoren in de Insider beta opgemerkt werd, maar gewoon niet is opgelost.
En dat is nog naast alle domme beslissingen om bijvoorbeeld QuickAssist te vervangen door een store app.
Onze frontdesk had maanden zonder support tool gezeten als we niet halsoverkop een andere oplossing hadden opgetrommeld.
Ik zie nu eigenlijk dat ik de comment van Deem totaal verkeerd gelezen heb
Het hangt van zovele factoren af natuurlijk. Wij zien bij ons amper problemen. Het domain controller probleem hebben we niet gehad, het RDP probleem hebben we niet gehad. in dit geval van DA zijn we niet getroffen omdat we het niet gebruiken ...

Ik kan me niet herinneren wanneer wij voor het laatst een update hebben moeten blokkeren of terugdraaien.
Gelukkig maar!
Ik heb ook zeker niet alle problemen gehad. Ik zou bijna zeggen "slechts" als ik het heb over de DC en VPN problemen, maar aangezien dat zo ongeveer de belangrijkste onderdelen van mijn netwerk zijn is dat wel heel erg een understatement.

Ik heb hierboven/onder een lijstje gepost met recente Windows Update problemen. Feit dat er nieuwsberichten over zijn zegt voldoende over de impact in de wereld denk ik. En het lijstje is niet bepaald kort te noemen, helaas.
Even afkloppen maar wij ook niet.
We hebben wel vorig jaar wat issues gehad met het printen wat veroorzaakt werd door de updates.
We testen de updates altijd eerst op aparte servers, die of niet kritisch zijn of waar wij als IT omgeving alleen op werken (wel een exacte kopie van waar de andere gebruikers op zitten) en gaan daar een week mee aan de slag.
Als alles verder goed werkt en we lezen niets in de media over 'omvallende' servers/clients door updates dan voeren we ze door.
En zoals altijd, check of je een goed backup hebt en makkelijk terug kunt.
De hoeveelheid issues de laatste tijd slaat echt nergens op. Lijkt wel alsof de kwaliteitscontrole afdeling bij Microsoft is opgeheven.

Bedrijven moeten nu kiezen tussen stabiliteit (wachten met uitrollen tot er een patch komt zonder issues) of veiligheid (snel patches uitrollen en eventuele issues voor lief nemen) en dat zou nooit het geval moeten/mogen zijn.
Lijkt wel alsof de kwaliteitscontrole afdeling bij Microsoft is opgeheven.
Haha, die is al heel lang geleden opgeheven. Een oud werknemer heeft daar in 2019 nog een video over gemaakt.
Ars heeft er regelmatig goede verhalen over:
https://arstechnica.com/g...ates-its-developing-them/
Tja, dit probleem speelt al sinds dacht 2015 toen MS besloot om hun hele Windows testafdeling de deur te wijzen. Blijkbaar is de effectiviteit van hun alternatieve manier van bug testen wat minder accuraat. Hopen dus dat dit soort situaties hun doen besloten die afdeling weer terug te halen :)
Helaas een feit, tegenwoordig word je als gebruiker gewoon ingezet als tester. Dat is overigens wel ergens te begrijpen, waar in het verleden een Windows licentie geld kostte krijg je deze ondertussen nagenoeg gratis. Een trend die ingezet is door Apple. Met als groot verschil dat Apple zowel de software als de hardware levert en dus toch wel geld verdient.

Een goed voorbeeld zijn ook de recente Exchange mitigaties. Er is in september een lek gemeld in Exchange wat sinds augustus misbruikt werd. In plaats van een fix kwam Microsoft met wat mitigaties, die ze niet eens zelf bedacht hadden overigens. En dan krijg je dit:
https://www.security.nl/p...lekken+in+Exchange+Server
https://www.security.nl/p...en+tegen+Exchange-servers
https://www.security.nl/p...Shell+op+Exchange-servers
https://www.security.nl/p...nge+eenvoudig+te+omzeilen
https://www.security.nl/p...lekken+in+Exchange+Server
https://www.security.nl/p...ie+Exchange-zerodaylekken
https://www.security.nl/p...ge-updates+nog+niet+klaar

En dan zeg ik er nog maar even niet bij dat de eerste publicatie van de mitigaties van Microsoft foutief was, dat hebben ze een dag later hersteld. Maar je ziet in deze grove tijdlijn heel duidelijk terug dat ze niets echt testen. Een zeer kwalijke zaak.
Gratis licentie? Ik denk dat je niet wil weten wat bedrijven betalen aan licentiekosten.

En ik denk dat ze nog altijd veel testen, maar wanneer je software aan de ene kant complex is en aan de andere kant door miljarden mensen gebruikt wordt, is het onmogelijk om geen problemen te hebben.
Gratis licentie? Ik denk dat je niet wil weten wat bedrijven betalen aan licentiekosten.
Aangezien het mijn dagelijkse werk is heb ik wel een idee. En ik weet dat Windows Pro (meest gebruikte versie denk ik in de zakelijke wereld) nagenoeg gratis is. Dat was een paar jaar geleden wel een ander verhaal, toen was het stukken duurder.

Let op, ik praat enkel over Windows en niet over andere producten van Microsoft.
En ik denk dat ze nog altijd veel testen, maar wanneer je software aan de ene kant complex is en aan de andere kant door miljarden mensen gebruikt wordt, is het onmogelijk om geen problemen te hebben.
Het is een feit dat ze niet veel meer testen, daar hoef je niet over te denken verder.

https://arstechnica.com/g...ates-its-developing-them/
https://www.ghacks.net/20...indows-updates-increased/
https://www.youtube.com/watch?v=S9kn8_oztsA

Dank @dycell voor de links.

Dat je niet alles kan testen, daar hebben we geen discussie over. Dat snappen we allemaal. Je kan niet alles testen en voorkomen.
Bij een groot softwarebedrijf waar mijn broer werkte hebben ze dit ook gedaan. Een stuk of 100 testers de deur uit gedaan want ze hadden het testwerk 'geautomatiseerd' met analyse tools en ga zo maar door.

Intussen zitten er weer een stuk of 30 testers samen met de automatisering. Het heeft ze bakken met geld gekost en de fouten glipten er doorheen als rijstkorrels door een vergiet.
De zoveelste keer dan updates van Microsoft falen. Sinds ze over zijn gegaan naar alle updates in 1 grote maandelijkse update verpakken is het elke keer raak. Behalve dat het elke keer weer een haastklus lijkt om alles samen te brengen vervalt ook de mogelijkheid om gericht updates te installeren en te testen. En niet onbelangrijk, omdat je regelmatig een update moet terugdraaien verlies je ook gelijk alle beveiligingsupdates die geen problemen veroorzaakten, het is een alles of niets situatie geworden.

Het is prettig dat ze het dit keer snel hebben erkend en iets van een oplossing hebben bedacht, dat is lang niet altijd het geval. Vaak moet je weken wachten.

Maar het wordt met de maand lastiger om de updates serieus te nemen, net als ik wachten steeds meer beheerders maar af wat er gebeurd voor ze gaan installeren. Niet iedereen heeft een volledige teststraat en tijd om alles door te testen tot zijn of haar beschikking.
Dat is dan jouw ervaring. En genoeg bedrijven die nergens last van hebben. Zoals het bedrijf waar ik werk.
Ik baseer mij op zowel eigen ervaring als wat ik lees. Als er op sites als Tweakers, Security.nl en BleepingComputer (om er maar een handvol te noemen) melding gemaakt wordt van problemen met updates dan kan je er wel vanuit gaan dat dit heel veel bedrijven treft.

Natuurlijk zal niet elk probleem elk bedrijf treffen, het is maar net welke technieken er gebruikt worden. Maar als je een beetje leest over hoeveel problemen er na updates zijn de afgelopen +/- 3 jaar dan kan je niet anders dan concluderen dat het niet heel goed gaat op dit moment.
houdt er wel rekening mee dat mensen vooral ontevreden ervaringen delen. Zeker bij security.nl, dat zou ik nou niet als maatstaf gebruiken. Behoorlijk zure gebruikers daaro. Tweakers is wel beter qua gebruikerservaringen. Maar dan nog.... als 100 man in een topic roept dat ze er last van hebben, is dat dan veel? Geen idee, misschien dat er wel 1000 mensen in dat topic lezen om te zien wat eventueel kan gebeuren bij het patchen. Maar verder niet reageren als het prima werkt. En sowieso, wie zegt dat tech bedrijven pas melding maken als veel mensen ergens last van hebben? Tech bedrijven melden graag berichten die gelezen worden. En issues met software scoort over het algemeen goed. Dus wordt daar al gauw melding van gemaakt. Wilt nog niet zeggen dat het gelijk geldt voor bijvoorbeeld >30% van de bedrijven. Sterker nog, ik kan me wel wat FP topics herinneren over Windows/Exchange "issues", wat enorm overtrokken was en vrijwel niemand last van had.
Ik heb het niet over gebruikerservaringen, ik heb het over nieuwsberichten. De sites die ik noem plaatsen niet zomaar een nieuwsbericht en nieuwsberichten zijn (of zouden moeten zijn) objectief. Sorry als dat niet duidelijk was.
dat begreep ik en ik reageerde dat media vooral sensatie posten. En op gebied van bugs worden deze ook gauw gepost. Dat wilt nog niet zeggen dat het probleem wijdverspreid is. Ook tweakers heeft wel eens een artikel gepost over een issue, wat nauwelijks voorkwam.

Kijk, als vele media een issue posten én veel deskundigen hebben het erover op twitter én reddit staat er vol mee, dan zal er wat aan de hand zijn. En hoe vaak komt dat nou voor?
Dat komt tegenwoordig zo ongeveer elke Patch Tuesday voor. Er zijn zelfs standaard hele mega-threads voor op Reddit. Op Twitter is er ook genoeg te vinden.

Vele media is een lastige definitie, want media als de NOS/Telegraaf/AD/e.d. zullen hier niet snel over berichten. Dat is een zeldzaamheid. Maar binnen de IT/security wereld regent het regelmatig nieuwsberichten.

Ik denk dat je iets breder moet gaan kijken naar de berichtgeving rondom updates. Je zal er, ben ik bang, van schrikken.
Er zijn ook heel veel bedrijven die zich met de fouten melden bij Microsoft en die niet de publiciteit zoeken.

Sommige bedrijven hebben een serverpark met duizenden systemen en dit soort bugs kunnen daar zomaar een volledige business unit of een site/regio platleggen. Wellicht dat er dan 2 of 3 beheerders op een forum roepen dat het prut is, maar die vertegenwoordigen dan mogelijk duizenden eindgebruikers.

Je mag hopen dat ze de bugs vangen in hun teststraat, maar ook dat is niet altijd gegarandeerd. Een geteste patch op een teststraat kan heel anders uitpakken op het productienetwerk.
Voor iets wat slechts zijn ervaring is zit er anders wel een stuk meer diepgang in dan het simpelweg benoemen van "genoeg bedrijven". Alas, wordt hoog tijd dat ze bij MS die teststraat terug gaan halen die ze enkele jaren geleden opgedoekt hebben. Naar ik me herinner was dat een afdeling in Redmond die een grote hoeveelheid PC's had geconfigureerd met allerlei software en combinaties erop. Zoiets zou de stabiliteit en betrouwbaarheid een stuk verbeteren, zeker gezien dit issue ook bij consumenten speelt.
Kijk, zooi als dit is waarom ik uiteindelijk klaar was met mijn baan als SCCM/Intune administrator.
En nu los je andere zooi op als je nog in de IT zit als administrator.
Nog niet, dat komt. Toen mijn werkgever verschillende mensen zocht voor een omscholingsproject tot java-developer, ben ik daar op gesprongen.
En het laat me in ieder geval toe om op *nix te werken, zoals ik thuis ook al een tijdje deed.
Een hele verademing.
En als de boel crasht, zal ik zelf de oorzaak zijn :+
Wel, het lijkt opgelost, daarjuist een update ontvangen voor Win10Pro, en direct access werkt weer.
Als je met servers werkt met veel gedeelde mappen en DA werkt niet meer, dan is het constant die mappen terug activeren. Ik ben dus tevreden dat het terug werkt.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee