Nachlese: Fix für Windows IPSec VPN-Verbindungproblem

Windows[English]Die von Microsoft zum 11. Januar 2022 freigegebenen Sicherheitsupdates für Windows haben dazu geführt, dass IPSec VPN-Verbindungen mit Bordmitteln nicht mehr funktionierten. Zum 17. und 18. Januar 2022 hat Microsoft Sonderupdates veröffentlicht, die auch diesen Fehler beheben sollen. Hier eine Nachlese mit Hinweisen, welche Updates für die Fixes verfügbar sind und was es ggf. an Kollateralschäden gibt.


Anzeige

IPSec VPN-Verbindungprobleme

Nach Installation der zum 11. Januar 2022 freigegebenen Sicherheitsupdates beklagten sich zahlreiche Nutzer, dass unter Windows IPSec VPN-Verbindungen mit Bordmitteln nicht mehr aufgebaut werden konnten. Dabei war es egal, ob das Layer 2 Tunneling Protocol (L2TP) oder IP security Internet Key Exchange (IPSEC IKE) verwendet wurden (siehe Windows VPN-Verbindungen (L2TP over IPSEC) nach Januar 2022-Update kaputt). Microsoft hat das Problem bestätigt und schrieb:

IP Security (IPSEC) connections which contain a Vendor ID might fail. VPN connections using Layer 2 Tunneling Protocol (L2TP) or IP security Internet Key Exchange (IPSEC IKE) might also be affected.

Nutzer, die auf die IPSec VPN-Verbindungen von Windows angewiesen waren, konnten Cisco Meraki MX-Appliances, Ubiquiti oder die Gateways von Mikrotik und Fortigate sowie SonicWall-Instanzen nicht mehr erreichen. Betroffen waren Windows-Versionen, sobald folgende Sicherheitsupdates installiert waren.

Abhilfe schaffte nur die Deinstallation der betreffenden Updates. VPN-Lösungen wie OpenVPN etc. waren von diesem Problem übrigens nicht betroffen.

Korrektur-Updates für das IPSec VPN-Problem

Inzwischen hat Microsoft Korrekturupdates freigegeben, die diesen IPSec VPN-Bug beseitigen sollen. Es stehen folgende Sonderupdates vom 17. / 18. Januar 2022 zur Verfügung:

Bei allen oben genannten Updates schreibt Microsoft folgendes:

Behebt ein bekanntes Problem, das dazu führen kann, dass IP Security-Verbindungen (IPSEC) mit einer Lieferanten-ID fehlschlagen. VPN-Verbindungen mit Layer 2 Tunneling Protocol (L2TP) oder IP-Sicherheits-Internet Key Exchange (IPSEC IKE) sind möglicherweise ebenfalls betroffen.

Die Updates sind zwar kumulativ, aber optional und sollen eigentlich nur über eine Update-Suche gefunden werden – ich bin aber nicht sicher, ob die teilweise nicht automatisch installiert werden. Bei Update-Verteilung per WSUS müssten die Pakete aus dem Microsoft Update Catalog heruntergeladen und importiert werden.

Bezüglich des WSUS-Imports gibt es aber Kommentare, dass diese nicht funktioniert. Hier möchte ich auf den Blog-Beitrag Lösung: Updates in WSUS importieren verweisen, falls es Probleme beim Import per Internet Explorer geben sollte. Dort wird der Trick angesprochen, in der URL den Wert 1.20 auf 1.80 zu ändern. Für Leute, die mittlerweile den Chromium Edge-Browser unter Windows verwenden, verweise ich auf den Blog-Beitrag How-To: OOB-Updates im WSUS ohne IE, mit Edge importieren, der den entsprechenden Ansatz skizziert.

Kollateralschaden mit dem Update?

Hier im Blog hat sich Leser Michael mit nachfolgendem Kommentar zu Wort gemeldet und beklagt Folgeprobleme mit dem Sonderupdate KB5010793 unter Windows 10 Pro 21H2 (x64).

Das ist ja ganz tolle Banane, ich komme mit KB5010793 unter Windows 10 Pro x64 21h2 zwar wieder in mein VPN/Mikrotik, aber dafür kann ich nicht mehr auf die administrativen gemappten Netzwerklaufwerke (C$,D$) auf Windows 2012R2 vom Laptop aus zugreifen. Deinstalliere ich das Update dann geht es wieder.

Fehler bei der Verbindungsherstellung von X: mit \\ip\c$

Microsoft Windows Network : Der lokale Gerätename wird bereits verwendet. Die Verbindung konnte nicht hergestellt werden.

Die Laufwerke sind mit net use und dem switch persistent:yes auf dem Laptop gemappt.

2 x verifiziert, installiere ich das Update wieder, kommt das Problem, deinstalliere ich es, Problem ist weg.

Vielleicht muss ich über Anmeldeinformationsverwaltung/Windows-Anmeldeinformationen die gespeicherten Maps löschen, aber das kann doch mal wieder nicht wahr sein, jedes Update nur Probleme ich bin so was von genervt…..

In einem Folgekommentar schreibt Michael:


Anzeige

Es gibt hier definitiv ein Problem. Ich habe alle gespeicherten Mappings und Anmeldedaten gelöscht, dann den normalen Weg – Explorer – Dieser PC – Netzwerklaufwerk verbinden – Verbindung mit anderen Anmeldeinformationen herstellen – Kennwort speichern – danach kann ich zugreifen, jedoch nachdem Reboot wieder der Fehler. Das Mapping auf einen anderen Server bleibt bestehen. Ich hab leider keine Zeit hier weiter zu forschen (bereits 2 Stunden damit rumgeärgert) und schmeiße das Update KB5010793 auch wieder runter.

Jemand, der diese Problematik bestätigen kann? Und auf reddit.com gibt es diesen Thread, wo Nutzer Trollw00t schreibt, dass bei ihm die IPSec VPN-Verbindung trotz Sonderupdate KB5010793 (Windows 10 Version 20H2 – 21H2) nicht funktioniert.

Anmerkung: Bei ghacks.net gibt es diesen Kommentar, der angibt, dass das Update KB5010798 für Windows 7 ESU damit endet, dass anschließend nicht mehr auf den ystem Event Notification-Service zugegriffen werden kann – obwohl der Dienst läuft. Deinstallation des Updates hat geholfen. Ist im IPSec VPN-Kontext aber nicht relevant, da Microsoft dort nichts von diesem Bug erwähnt.

Ähnliche Artikel:
Windows Server: Notfall-Update fixt Remote Desktop-Probleme (4.1.2022)
Microsoft Office Updates (4. Januar 2022)
Microsoft Security Update Summary (11. Januar 2022)
Patchday: Windows 8.1/Server 2012 R2-Updates (11. Januar 2022), mögliche Boot-Probleme
Patchday: Windows 10-Updates (11. Januar 2022)
Patchday: Windows 11-Updates (11.Januar 2022)
Patchday: Updates für Windows 7/Server 2008 R2 (11. Januar 2022)
Patchday: Microsoft Office Updates (11. Januar 2022)

Windows Server: Januar 2022-Sicherheitsupdates verursachen Boot-Schleife
Windows VPN-Verbindungen (L2TP over IPSEC) nach Januar 2022-Update kaputt
Windows Server 2012/R2: Januar 2022 Update KB5009586 brickt Hyper-V Host
Microsoft Januar 2022 Patchday-Revisionen (14.1.2022)

Sonderupdates für Windows mit Fixes für Jan. 2022-Patchday-Probleme (17.1.2022)
Windows 11/Server 2022 Sonderupdates mit Fixes für Jan. 2022-Patchday-Probleme (17.1.2022)
Windows 10/Server: Sonderupdates mit Fixes für Jan. 2022-Patchday-Probleme (17.1.2022)
Windows 7/8.1; Server 2008R2/2012R2: Sonderupdates mit Fixes für Jan. 2022-Patchday-Probleme (17.1.2022)
Sonderupdate für Windows Server 2019 fixt Jan. 2022-Patchday-Probleme (18.1.2022)
Nachlese: Fix für Windows IPSec VPN-Verbindungproblem


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Problemlösung, Update, Windows abgelegt und mit Patchday 1.2022, Problemlösung, Update, Windows verschlagwortet. Setze ein Lesezeichen auf den Permalink.

15 Antworten zu Nachlese: Fix für Windows IPSec VPN-Verbindungproblem

  1. Timo sagt:

    Ich habe kein Problem auf die administrativen gemappten Netzwerklaufwerke (C$,D$) auf Windows 2012R2 zuzugreifen und auch keine weiteren Probleme mit dem neuen Update

  2. 1ST1 sagt:

    Administrative Freigaben sollte man aus Sicherheitsgründen normal eh nicht benutzen, denn dazu muss man, der Name sagt es, lokaler Admin sein. Jedes Virus freut sich über so eine Landschaft. Besser mit richtigen Freigaben arbeiten, aber das Windows- und Program Files Verzeichnis sollte man dann auch nicht schreibbar mit freigeben. So arbeiten nur Stümper.

    • Timo sagt:

      Es sollte doch wohl jeden selber überlassen sein was er so an Freigaben hat und in manchen Situationen ist die Admin-Freigabe kein Problem.
      Aber wir sind halt nur Stümper und wissen es wahrscheinlich nicht besser.
      Stimmt*s Herr Besserwisser ?

  3. Timur Born sagt:

    VPN über den Windows internen IPSEC Client funktioniert wieder. Nicht so schön: das Update zum Update war mindestens eine Zeit lang als "Optional" gelistet. Das defekte Update wurde also automatisiert geladen, das reparierte Update dann aber nur manuell.

    • C.Waldt sagt:

      Kann ich bestätigen. Bei der 21H2 Enterprise, hatte die Updatesuche gestern nichts ergeben. Habe das Update für meinen eigenen Rechner manuell geladen und eingespielt.
      —Grüße—

  4. KURU sagt:

    Ich habe mehrere Rechner mit W10 21H1 Pro, auf keinem taucht 5010793 auf, trotz mehrfacher manueller Suche in Wup (5009543 wurde jeweils am 13.01. inst.)

    Unter den opt. wird nur 21H2 angeboten …

  5. Der zugezogene Ostfriese sagt:

    Auf 32bit-Maschinen (jaja…) gibt es hier das Phänomen, dass sich mit Build 1466 und 1469 (also beide Januar-Updates) kein neuer Nutzer mehr am Rechner anmelden kann!
    (Neu im Sinne von 'bisher nie an diesem Rechner angemeldet gewesen', nicht 'neu in Domäne'). Es wird mit jedem Anmeldeversuch eine neue Profilstruktur im Dateisystem angelegt, aber der Anmeldevorgang endet immer mit "Fehler bei der Anmeldung des Diensts "Benutzerprofildienst" (der natürlich läuft).

  6. C.Waldt sagt:

    Hab hier auch noch einen "netten" Kollateralschaden gefunden!
    Windows 10 21H2 Enterprise.
    Habe es gerade mit zwei verschiedenen Aida Versionen gemessen.
    Speicherdurchsatz bei einem Ryzen 7 2700x um satte 10% reduziert.
    (4X 8GB DDR4 3200Mhz non ECC Ram)
    Speicherdurchsatz im Level3 Cache um mindestens 10% reduziert.
    Und alles bei gleichbleibender Latenz.
    Da sag ich mal Danke ;(

    —Grüße—

  7. Rolando Ferruccio Rappi sagt:

    Big Problem with Sonicwall Global VPN Client 184-010739-00_REV_A_GVCSetup64
    System:
    Microsoft Surface Laptop 4 – 32MB Ram and 1 TB Solid-state
    Windows 10 newest Updates
    Connected with Netgear AirCard 797
    mobile Provider Swisscom
    Problem:
    Down Speed between 49 and 55 or 0.7 and 0.85
    As soon I connect to the VPN the down speed goes under 1 – approx. – 70%
    The same effect if I tray to connect to any WIFI in a office or in a Public Place.
    The differences from the older Global Software to the new is. With the new after DISABEL the VPN Client the Speed goes to normal, before was needed to restart the Labtop.
    I need urgent a liable working solution as soon as possible!

  8. yoyobo sagt:

    Moin,
    mir wird das Angebot auf mehreren Maschinen auch bisher nicht angeboten, nach einer manuellen Installation klappt es bei mir aber wieder. Weitere Tests auf anderen Maschinen sind noch ausstehend.
    Viele Grüße
    yoyobo

  9. Manny sagt:

    Moin
    Hat jemand schon geprüft ob der Fehler mit den Februar Updates nun behoben ist? Bisher musste das optionale Update ja jeweils eingespielt werden.

    Grüsse – Manny

  10. Surf Test sagt:

    Ich hatte und habe imme noch dasselbe VPN Problem sobald ich einen der beiden Updates installiere (KB5009543 und KB5010793).
    Beim KB5009543 kann ich eine VPN Vermbindung aufbauen, habe aber danach kein Zugriff auf die Ordnerfreifgaben.
    Beim KB5010793 kann ich hingegen eine VPN Vernbindung gar nich erst aufbauen.
    Mit VPN meine ich die Microsoft eigene VPN Lösung.
    so wie ich es bisher beobachten konnte, besteht bei beiden KBs nur wenn die VPN Verbindung von aus dem selben Subnet erstellt wird.
    Wenn ich eine SIM Karte nutze (WWAN) dann funktioniert die Verbindung.
    Aber wie gesagt, ohne diesen KBs habe ich die Problem nicht undich nutze diese VPN Verbindungen seit Jahrzehnten.
    Ich habe das Problem bei mehreren Netzwerkumgebungen festgestellt an drei verschiedenen Standorten.
    Konfiguration:
    – Mehrere Clients Win 10 in einer MS Domäne
    – Domäin Serer 2012 welches auch die VPN Verbindungen zur Verfügung stellt
    – FritzBox 7490 als Router
    Ich wäre sehr dankbar, wenn jemand dasselbe problem hat und evtl. eine Lösung dazu.

  11. SurfTest sagt:

    Ich habe bereits ein Kommentar geschrieben, war aber wohl zu wenig deutlich.
    Die Probleme bestehen bei mir und bei inzwischen 4 mir bekannten Standorte immer noch und zwar:
    – Zuerst gab es anfangs Januar die bekannten VPN Probleme mit dem KB5009543,
    VPN konnte gar nicht erst aufgebaut werden und kam eine Fehlermeldung.
    Nach der Deinstallation vom KB5009543 war alles wieder OK.
    – Später kam den "out of band fix" KB50107943.
    Nach der Installation KB50107943 konnte / kann man problemlos wieder
    eine VPN Verbindung herstellen.
    Aber beim Zugriff auf Netzfreigaben aller Art, kam und kommt die Meldung:
    "Vergewissern Sie sich, dass der Name richtig geschrieben wurde. usw.""
    und im system.log steht "Der Kerberos-Client hat einen
    KRB_AP_ERR_MODIFIED-Fehler von Server "Servername$" empfangen, usw."
    – Deinstalliere ich die oob KB, ist alles wieder OK.
    – Beide oben beschriebenen Probleme habe ich auch mit Windows 11 und die
    entsprechenden KBs dazu.
    Wie gesagt, das Problem kann ich inzwischen an 4 unterschidlichen Standorte reproduzieren, egal ob die VPN Verbindung innerhalb der eigene Domäne aufgebaut wird, oder von einem Standort zu einem anderen.
    Alle 4 Standorte nutzen MS VPN L2TP.
    Die deinstallation der KBs löste im Januar das Problem, aber jetzt kommen die Februar KBs, und diese verursachen wieder dasselbe Problem und muss auch diese deinstallieren, das kann ich aber nicht ewig so handhaben.
    Kann mir da jemand ein Tipp geben?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.