fluehmer
Goto Top

Externer Zugriff funktoiniert nach Einspielen von Windows Updates (08.01.2013) nicht mehr

Hallo an alle,

folgendes Problem habe ich:

Nach dem Erscheinen der neuen Updates am 08.01.2013 habe ich diese im Netzwerk auf allen Servern installiert. Seitdem ist es nicht mehr möglich sich von außerhalb per RDP zu verbinden, was jedoch bisher problemlos möglich war.

Zum schematischen Aufbau: <Internet> -> <Debian Firewall> (iptables) -> <Windows Server 2008 R2>
Die Verbindung wird von außen über eine Debian Firewall aufgebaut, welche einkommende Anfragen auf Port 3389 weiterleitet an einen Windows Server 2008 R2, welcher im internen Netz steht. Den Details der Updates (können hier nachgelesen werden: http://patch-info.de/artikel/2013/01/08.html) entnehme ich, dass wohl ein paar Sicherheitslücken geschlossen worden sind, welche mit RDP zu tun haben).

Meine Frage ist nun, ob jemand eine Lösung für dieses Problem kennt, ohne unbedingt alle Updates wieder zu deinstallieren bzw. welches Update von den gelisteten genau das Problem verursacht.

Vielen Dank schonmal.

MFG Flühm

Content-ID: 196826

Url: https://administrator.de/forum/externer-zugriff-funktoiniert-nach-einspielen-von-windows-updates-08-01-2013-nicht-mehr-196826.html

Ausgedruckt am: 24.12.2024 um 01:12 Uhr

Chonta
Chonta 11.01.2013 um 13:08:36 Uhr
Goto Top
Hallo,

welche KBxxxxxxxxxxxx wurden zuletzt installiert? Das Datum sagt nichts darüber aus welche KB installiert wurden.
Was sagen die Logfils der Server und der Firewall?
Geht RDP im LAN?
Was gibt der RDP-Client draßen für eine Meldung?
Ihr lasst in echt und mit Absicht RDP ohne VPN zu?

Gruß

Chonta
Injoy111
Injoy111 11.01.2013 um 13:14:25 Uhr
Goto Top
Ich betreibe einen SBS2011 und habe ein Problem nach einem Update vom 03.01.2013 (durchgeführt am 05.01.2013).
An diesem Tag habe ich ausschließlich das Update KB2798897 installiert. Folge war das ich ab diesem Tag meine Intranetseite (companyweb) nicht mehr von den Windows 7 Clients öffnen kann und der Outlookzugriff auf den Exchang nicht mehr möglich ist.
Eine Lösung ist mir derzeit noch nicht bekannt. Eine Anmeldung der Clients ist noch möglich. Die Freigaben funktionieren auch noch problemlos. Drucken geht auch noch problemlos. Client-Server Anwendungen machen auch noch keine Probleme.
Beim Öffnen der Companyweb über den IE bekomme ich keine Fehlermeldung.

Vieleicht hat jemand ne Lösung.
Fluehmer
Fluehmer 11.01.2013 um 13:25:06 Uhr
Goto Top
Hallo Chonta,

danke für die schnelle Antwort.

Das ist die Liste der Updates, welche zuletzt installiert wurden. Seitdem tritt wie gesagt das Problem auf.

KB2798897
KB2756921
KB2742595
KB2757638
KB2769369
KB8900830
KB2785220
KB2753842
KB2742599
KB2736428
KB2786400
KB2786081
KB2778930
KB2726535
KB2736422

Die Logfiles des Windows Servers sind sauber. Die der Firewall geben ebenfalls keinen Hinweis auf ein Problem.
An der Firewall wurden auch keine Änderungen vorgenommen oder Updates eingespielt.

Intern ist RDP problemlos möglich, das habe ich vergessen zu erwähnen... Man verzeihe es mir.

Die Quell-IP-Adressen, von denen RDP Zugriff möglich ist, wurde per iptables Regelwerk beschränkt, somit hat natürlich nicht jedermann freien Zugriff. Da es sich dabei aber um statische Adressen handelt, kann man das als Fehlerquelle ausschließen.
Chonta
Chonta 11.01.2013 aktualisiert um 14:39:48 Uhr
Goto Top
Hallo,

wenn RDP intern möglich ist blockt etwas den Client von außen.
Entweder Firewall (Debian oder auf dem Windowsserver slebst.
Oder Es versucht ein XP Client mit einer älteren Version von RDP auf den Server zuzugreifen und der Server verbeitet das.

Ich würde Portmirror vom Sserverport machen und mit Wireshark schauen ob eine Anfrage überhaupt beim Server ankommt.
So hast Du genaue Infos und mehrere mehrere mögliche Fehlerursachen auf einen Schlag eleminiert.

Auf der Gegenstelle kann im übrigen auch was verändert worden sein.


@Injoy111
Seid dem 5ten geht nix mehr und Du fragst jetzt?
Sind nur Win7 Clients betroffen oder auch XP/Vista?
Laufen die Dienste auf dem Server, Server schon neu gestartet?
Drucken und Freigaben haben nix mit Exchange und dem IIS zu tun.
Hast Du evtl. Zertifikate von den gesperrten Stellen im einsatz?
Sind deine Zertifikate evtl abgelaufen?
Was für Fehlermeldungen kommen denn Am Client und auf dem Server, und es wird welche geben!

Gruß

Chonta
Fluehmer
Fluehmer 11.01.2013 um 15:27:19 Uhr
Goto Top
Hallo Chonta,

vielen Dank für die Hinweise.

Die Mirrors vom Port hatte ich auch schon selbst gemacht, und mich gewundert, warum die Pakete nicht da ankommen wo sie hin sollen. Sowohl mit tcpdump auf der Debian Firewall als auch mit Wireshark auf dem internen Server.

Ich habe die Lösung des Problems nun selbst gefunden:
Grund waren die Netgear Switche im Serverraum. Ein Neustart des Stacks brachte RDP zurück ins Rennen. Vermutlich der ARP-Cache voll...

Aber darauf muss man erst einmal kommen.

MFG Flühm
Injoy111
Injoy111 12.01.2013 um 09:21:56 Uhr
Goto Top
@Chonta
Hatte erstmal versucht das Problem einzukreisen.
Also:
Es sind zurzeit nur Win7 Clients betroffen (das Update war auch für Win7).
Alle Dienst laufen. Vom Server komme ich auf die Companyweb. Server hatte ich auch schon mehrfach neu gestartet.
Der gibt auch beim Start keinen Hinweis auf irgend welche Probleme.

Zertifikate: Ich kenne mich dieser Thematik leider nicht so perfekt aus.
Wie kann ich diese Thema mal umfassend prüfen und ggf. Fehlkonfigurationen korrigieren?

Ich hatte mal versucht einen Client durch einen Neuconnect wieder einzubinden. Merkwürdigerweise funktionierte dann wieder alles auf dem Client. Nach dem Neustart (am nächsten Morgen) waren dann wieder die Companyweb weg. Wie gesagt Anmeldung funtionierte bisher. Fehlermeldung kommt keine am Client, lediglich "Webseite kann nicht angezeigt werden".
Vom Server geht es auch zeitweise nicht (nach neustart).
Kann es sein das im DNS irgend etwas faul ist?
Gruß Injoy111
Chonta
Chonta 12.01.2013 um 11:06:40 Uhr
Goto Top
Hallo

Fehlermeldung kommt keine am Client, lediglich "Webseite kann nicht angezeigt werden".
Vom Server geht es auch zeitweise nicht (nach neustart).

Der Server kann seine eigene Seite nicth aufrufen?

Wenn Du DNS in Verdacht hast, teste doch einfach mal, welche IP-Adresse die Win7 Clients für die Webseite ausgeben.
Vierencheck der Clients wäre evtl auch ratsam.
Weil, wenn XP die Seite normal anzeigt, sind die Dienste und der DNS-Server in Ordnung. (Auflösungstechnisch, es bedeutet nicht, das die nicht kompromitiert sind.)


Gruß

Chonta