harfes
Goto Top

Nach Win10 Juli-Update (KB5028166) von IGEL kein RDP-Zugriff mehr möglich

Ich habe seit vorgestern auf mehrere Win10Pro-VMs (22H2) KB5028166 installiert – seit dem können die IGEL nicht mehr per RDP darauf zugreifen. Weder SMB noch NLA haben damit etwas zu tun (habe SMB V1 inst. und NLA abgeschaltet) und die Lizenzen und Zertifikate der IGEL sind ok. -> Updates deinstalliert – alles geht wieder. Keine Ahnung welchen Mist MS da wieder verzapft hat…vielleicht hat hier ja jemand eine Idee, wo ich noch hinschauen könnte?

Hartmut

Content-ID: 7838964026

Url: https://administrator.de/forum/nach-win10-juli-update-kb5028166-von-igel-kein-rdp-zugriff-mehr-moeglich-7838964026.html

Ausgedruckt am: 22.12.2024 um 14:12 Uhr

radiogugu
radiogugu 13.07.2023 aktualisiert um 20:09:18 Uhr
Goto Top
Nabend.

Schließt das Update eventuell die Windows Firewall bzw. macht den Port 3389 wieder zu? Das Update behandelt ja auch den Defender.

Oder deaktiviert auf den Win 10 Geräten RDP unter "PC-Infos" > "Erweiterte Systemeinstellungen"?

Gruß
Marc
harfes
harfes 14.07.2023 um 06:46:14 Uhr
Goto Top
Nein, auch mit ausgeschalteter Firewall geht's nicht (aber der RDP-Port 3389 wurde nicht "angefasst" vom Update - Einstellungen der Firewall sind wie vorher) und RDP ist weiterhin aktiviert. Ich habe es noch von einem Laptop mit Windows10 probiert: geht problemlos! D.h. irgendwas auf den IGEL-Kisten passt nicht...aber ich sehe bisher leider nicht, was das sein soll.
Da auf den IGELs Linux läuft, war mein erster Verdacht SMB - aber da ist bei allen SMB2 eingestellt, das von Windows aktuell unterstützt wird.

Hartmut
radiogugu
radiogugu 14.07.2023 um 08:19:38 Uhr
Goto Top
Zitat von @harfes:
Da auf den IGELs Linux läuft, war mein erster Verdacht SMB - aber da ist bei allen SMB2 eingestellt, das von Windows aktuell unterstützt wird.

Warum? SMB und RDP hängen nicht wirklich zusammen.

Werde das mal versuchen nachzustellen.

Habe zwar keinen IGEL Client zum Test, aber ein paar Linux Geräte und Windows 10 Clients én massé.

Gruß
Marc
harfes
harfes 14.07.2023 um 08:46:36 Uhr
Goto Top
Das würde mich natürlich freuen, wenn Du das testen könntest - allerdings weiss ich leider nicht, welches Linux auf den IGELs läuft und welchen RDP-Client die einsetzen. Wir haben leider sonst kein "normales" Linux hier zum Testen und meine Kenntnisse im Linux-Bereich sind auch eher rudimentär...

Übrigens waren SMB und NLA nur Versuche, um die "üblichen Verdächtigen" erstmal auszuschliessen - wie gesagt, weiss ich nicht wirklich, wo ich suchen soll...

Hartmut
radiogugu
radiogugu 14.07.2023 aktualisiert um 08:51:36 Uhr
Goto Top
Es läuft bei drei unterschiedlichen Konstellationen.

Debian 12 > Win 10 Pro (Fat Client)

PoP!_OS 20.04 > Win 10 Pro (Fat Client + Test VM)

Ubuntu 22.04 > Win 10 Pro (Test VM).

Es kann also eine IGEL Symptomatik sein. Eventuell kann jemand hier unterstützen und dein Problem nachstellen / bestätigen.

Welches IGEL OS kommt eigentlich zum Einsatz?

Was du auf jeden Fall beachten solltest, dass du für die Virtualisierung von Windows 10/11 Enterprise / VDI Lizenzen benötigst, damit es korrekt läuft, die Lizenzen betreffend.

Gruß
Marc
harfes
harfes 14.07.2023 um 09:19:49 Uhr
Goto Top
Super! Danke für die schnellen Tests!

Ich gehe dann auch davon aus, dass es am IGEL-OS liegt (im Einsatz ist die aktuellste V. 11 - das soll ein Ubuntu sein), denn wenn das Update auf den Win10-Maschinen deinstalliert wird, dann funktioniert es ja wieder. Die notwendigen Lizenzen sind ebenfalls vorhanden und haben bis zu dem Update ja auch funktioniert (und funktionieren ohne Update ja auch weiterhin).
Bis jetzt habe ich im WWW noch nichts zu dem Problem gefunden...

Hartmut
harfes
harfes 14.07.2023 um 17:23:59 Uhr
Goto Top
Und es liegt wohl doch am Samba - die Samba-Leute haben da schon was gefunden und auch eine Lösung parat:

https://bugzilla.samba.org/show_bug.cgi?id=15418

Da es sich um eine Domain-Anmeldung handelt (das wird aber alles von einer Synologie verwaltet (ist nicht auf meinem Mist gewachsen…)), muss ich wohl auf ein Update von Synologie warten.

Hartmut
radiogugu
radiogugu 15.07.2023 um 10:49:01 Uhr
Goto Top
Zitat von @harfes:
Und es liegt wohl doch am Samba - die Samba-Leute haben da schon was gefunden und auch eine Lösung parat:

https://bugzilla.samba.org/show_bug.cgi?id=15418

Du kriegst die Tür nicht zu. Was zum Geier ist da los in Redmond face-sad

Da es sich um eine Domain-Anmeldung handelt (das wird aber alles von einer Synologie verwaltet (ist nicht auf meinem Mist gewachsen…)), muss ich wohl auf ein Update von Synologie warten.

Die Synology hat da wahrscheinlich auch wenig mit zu tun, sondern eher der Windows Client, der RDP Zugriffe nicht mehr zulässt.

Microsoft muss hier einen Patch nachliefern. Einer der Leute im obigen Thread hat ja schon ein wenig in die Zukunft geschaut und spekuliert auf einen Patch innerhalb eines halben Jahres. Das hilft nur vielen, vielen Leuten nicht weiter.

Interessant wäre zu wissen, ob ein Microsoft Active Directory Windows 10 Client ebenso von einem IGEL Client nicht mehr via RDP erreichbar wäre.

Gruß
Marc
harfes
harfes 15.07.2023 um 17:47:19 Uhr
Goto Top
Wenn ich das Problem im Bugzilla vom Samba korrekt verstanden habe, dann wird durch den Patch RDP wieder möglich. Der Client bekommt wohl nur nicht mehr die "korrekte" Antwort vom Samba (=Authentifizierung), denn von einem Windows-Client geht es ja weiterhin problemlos (gepatcht oder nicht). Und da es bei Synology (und QNAP etc) mit den Updates meistens wesentlich schneller geht, als bei Microschrott, warte ich lieber kürzer bei denen auf die "Korrektur". Microsoft hat die Verschärfung zwar schon länger angekündigt, was die dann aber da genau noch gemacht/gebastelt und wenn überhaupt versteckt dokumentiert haben...

Da die Domäne hier leider von der Synology verwaltet wird und nicht vom ebenfalls im Netzwerk vorhandenen Windows-Server, kann ich das mit AD und den IGELn leider nicht testen ohne alles umzustellen. Aber vielleicht gibt es ja andere User hier, die das testen oder was dazu sagen können?

Hartmut
harfes
harfes 16.07.2023 um 08:38:13 Uhr
Goto Top
Von Synology gibt es bereits einen Patch:

https://community.synology.com/enu/forum/1/post/161649

Hartmut
Harald99
Harald99 16.07.2023 aktualisiert um 16:32:18 Uhr
Goto Top
Wie wird das sein, kann man in Zukunft RDP auch noch ohne NLA (Workstation) machen?

Bin verwirrt hierüber "ab dem 11. Juli 2023 die erste Stufe des Enforcement Modus beim Netlogon- und Kerberos-Protokoll aktiviert" (BornCity)...