DirectAccess funktioniert nach November 2022 Windows Updates nicht mehr

Windows[English]Mit den Sicherheitsupdates von November 2022 für Windows scheint es ein Problem zu geben. Zumindest für Windows 11 22H2 liegen mir Berichte vor, dass im Anschluss an die Update-Installation DirectAccess-Verbindungen im Netzwerk nicht mehr funktionieren. Es gibt aber auch Hinweise, dass das Problem unter Windows 10 auftritt. Ich nehme es mal hier im Blog auf, falls es Betroffene unter der Blog-Leserschaft gibt.


Anzeige

Windows-Updates im November 2022

Zum 8. November 2022 wurden ja für die im Support befindlichen Windows-Versionen eine Reihe Sicherheitsupdates freigegeben. Zudem gab es Vorschau-Updates vom 25. Oktober 2022. Um welche Updates es sich handelt, lässt sich über die am Artikelende verlinkten Blog-Beiträge herausfinden.

Was ist DirectAccess?

DirectAccess ist eine proprietäre Lösung von Microsoft, die unter Windows 7 / Windows Server 2008 R2 erstmals eingeführt (siehe), dann in Windows 8.1 / Windows Server R2 verbessert wurde, aber auch in aktuellen Windows-Versionen unterstützt wird. Es ist eine VPN-ähnliche Lösung, die Daten per IPv6 mittels eines IPsec-Tunnels überträgt. Für den Zugriff auf IPv4-Server verwendet DirectAccess Überbrückungstechnologien. Im Gegensatz zu VPN benötigt DirectAccess kein benutzerseitiges Initiieren einer Verbindung, sondern stellt bereits beim Start des Computers automatisch eine Verbindung zum Unternehmensnetzwerk her, falls sich ein Client außerhalb des Unternehmensnetzwerkes befindet. Durch die automatische Verbindung der Clients zum Netzwerk ist ein Verwalten von externen Computern für Unternehmen möglich.

Microsoft DirectAccess
DirectAccess, Quelle: Microsoft

Beim Start eines Clientcomputers versucht dieser, den "Network Location Server" (NLS) zu erreichen (ist eine im Domänennetzwerk erreichbare Website, die von jedem Webserver bereitgestellt werden kann). Es sind auch Verbindungen zu Unternehmensnetzwerken ohne Domäne möglich. DirectAccess ermöglicht eine benutzerunabhängige Authentifizierung des Geräts. Microsoft hat diese Webseite mit Dokumentation von DirectAccess bereitgestellt – eine umfangreiche Erklärung der Funktionalität bietet z.B. Wikipedia.

DirectAccess streikt nach Updates

Blog-Leser Bembel hat in diesem Kommentar auf Probleme mit DirectAccess in Folge der November 2022-Sicherheitsupdates für Windows hingewiesen und auf den Forenpost DirectAccess keeps reconnecting after installing Windows 11 updates bei Microsoft verwiesen. Dort hat sich ein Betroffener gemeldet und schreibt:

DirectAccess keeps reconnecting after installing Windows 11 updates

After installing the following updates on Windows 11 22H2 DirectAccess state remaining Connecting after disconnect/connect a network:

  • KB5018427
  • KB5019509 (adds tabs to Explorer, taskbar overflow menu)
  • KB5019980

These updates are tested stand-alone and after each other and/or different sequence, all resulting in a DirectAccess state remaining Connecting.

Anybody any idea what is causing this? A reboot of the laptop resolves the issue momentarerly but if the network disconnects/connects (drop on Wifi e.g.) the DirectAccess never connects again and another reboot is necessary. The issue is also on Windows 10, caused by at least these updates; KB5020953 and KB5019959.

Das Ganze bezieht sich auf Windows 11 22H2, und nach der Update-Installation ist keine DirectAccess-Verbindung mehr möglich. Der Nutzer schreibt, dass das Ganze aber auch unter Windows 10 mit den Updates KB5020953 (ist ein Korrekturupdate vom Oktober, siehe) und KB5019959 (Windows 10 Version 20H2-22H2) auftritt. Ein weiterer Nutzer bestätigt dieses Problem für Update KB5019964 (Windows 10 1607).

Im Verlauf der Diskussion haben sich weitere Benutzer gemeldet, die diese Probleme für diverse Updates beobachtet haben. Je nach Windows-Version gibt es dabei unterschiedliche Fehlerbilder. Windows 11-Systeme stellen überhaupt keine Verbindung her, wenn sie vollständig gepatcht sind. Windows 10-Clients verbinden sich beim ersten Start, haben aber das Problem des fehlenden Re-Connects, wenn sie das WiFi-Signal verlieren oder aus dem Ruhezustand aufwachen, bleibt das Ganze beim Direct Access-Verbindungsaufbau hängen. Ein Neustart behebt das Problem vorübergehend, bis der Client seine Netzwerkverbindung wieder verliert. Das Entfernen der Updates vom letzten Monat behebt das Problem. Auch ein Blog-Leser bestätigt hier dieses Problem. Noch jemand betroffen?

Ergänzung: Microsoft hat die Probleme bestätigt, siehe Microsoft bestätigt Direct Access-Probleme nach Nov. 2022 Updates


Anzeige

Ähnliche Artikel:
Microsoft Security Update Summary (8. November 2022)
Patchday: Windows 10-Updates (8. November 2022)
Patchday: Windows 11/Server 2022-Updates (8. November 2022)
Windows 7/Server 2008 R2; Windows 8.1/Server 2012 R2: Updates (8. November 2022)
Windows 10 20H2-22H2 Preview Update KB5018482 (25.10.2022)
Windows 11 22H2: Preview-Update KB5018496 (25.10.2022)
Windows 11 21H2: Preview-Update KB5018483 (25.10.2022)
Windows Server 2022 Preview Update KB5018485 (25.10.2022)

November 2022-Updates für Windows: Änderungen am Netlogon- und Kerberos-Protokoll


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Software, Update, Windows abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

16 Antworten zu DirectAccess funktioniert nach November 2022 Windows Updates nicht mehr

  1. Thomas sagt:

    Wow!
    Es gibt jemand der Direct Access wirklich nutzt?
    Die Grundidee finde ich schon geschmeidig, aber die Umsetzung und Einrichtung = meh.
    Zum einen wieder nur für Enterprise-Clients, zum anderen ist ein dazugehörige Buch eines Experten 308 (!) Seiten dick.
    Einfach klingt für mich anders.

    • js sagt:

      Bald nicht mehr.
      Ich empfand beim Anlesen DirectAccess als eine zu hochgestapelte Sache.
      Und weil sie den OnPremise Betrieb fördert soll sie vielleicht auch keiner mehr wollen. ("Mobile first, Cloud first", remember?)
      Ansonsten hieß es doch irgendwann mal, dass es für AlwaysOnVPN weichen soll?
      Aber ich laber nur dumm rum, mich würde mal eine Meinung von Opfern interessieren.

      • Nico sagt:

        Wir setzen die Lösung bei 2 Kunden ein. Bisher auch sehr Stabil und Zuverlässig. Es hat halt den Vorteil das die Geräte unabhängig von der Useranmeldung direkt im Firmennetz sind und damit auch z.b. GPO,s sauber ziehen trotz "Homeoffice" etc.

        Das Einrichten ist in der Basis gar nicht so schwierig – aber man kann es auch Durchaus komplex gestalten ;)

        Um zum Problem zu kommen – bei einem der beiden Kunden mit Windows 10 Enterprise + Direct Access Server auf Basis Server 2019 geht nach der Installation des CU11/2022 nix mehr. Der Isatap Adapter am Client ist danach deaktiviert und kein Zugriff ist mehr möglich. Aktuell hilft nur die Deinstallation und der Block des Updates.

  2. DW sagt:

    Reden wir wirklich von DirectAccess oder doch Always-On VPN?

    • Michael sagt:

      Ja, wirklich DirectAccess. Ist aber eigentlich tot und von AlwaysOnVpn abgelòst, was mich daher auch nicht wundert, dass MS vergessen hat das irgendwie zu testen…achja QA wurde ja an die Kunden ausgelagert.

  3. Jens sagt:

    Nach der Installation der November patche auf einen Windows Server 2019 (unser wsus Server) melden sich die Clients nicht mehr mit Status am wsus..

    Nach der Deinstallation melden sich die Clients sofort!

    Erste Meldung nach der Installation auf einen Windows 10 Testgerät verliert er lokal die Verbindung zu unserem on prem Exchange.

    Jemand ähnliche Erfahrungen?

  4. Zanza sagt:

    Ich dachte eigentlich nachdem MS die Hardware-Anforderungen für W11 so stark einschränkt hat, würde es auch weniger Bugs geben, weil sie nicht mehr so viel testen müssen. Aber es hat sich leider nix geändert.

  5. Max sagt:

    Hallo zusammen,

    wir nutzen DAC (welcher mit Server 2016 auch noch ein paar Jährchen offiziellen Support hat ;) im Unternehmen für mehrere hundert Clients.

    Ich kann bestätigen, dass die Kombination Windows 10 Enterprise 21H2 mit dem Update KB501959 Probleme verursacht. DAC-Sessions brechen im laufenden Betrieb weg. Ein Neustart des IP-Helpers (manueller Workaround um die Verbindung wieder aufzubauen) ist nicht möglich. Der Dienst hängt. Ein Neustart wird erforderlich.

    Der Patch ist seit Dienstag im Rollout für eine erste Testgruppe. Somit halten sich die Probleme zum Glück noch im Rahmen.

    Nach einer Deinstallation und Neustart funktioniert der DAC wieder. Mal abwarten ob dauerhaft… (Dafür zeigt mir Windows in der Trayleiste keine Netzwerke mehr an…)

    Danke Microsoft…

    • 1ST1 sagt:

      Ihr solltet euch unbedingt Gedanken um eine MS-unabhängige VPN-Lösung Gedanken machen. Habt ihr nicht eine Firewall-Lösung, die das mit erledigt?

      • DW sagt:

        Auch eine andere Lösung nimmt die IT nicht aus der Verantwortung eine Testumgebung bereitzustellen. Ich versteh nicht, warum man immer gleich die produktiven Instanzen aktualisieren muss.

        Unabhängig davon ist es je nach Anzahl von Benutzern und/oder Computer auch ein erheblicher Kostenblock. Wo dann auch eine bestehende Firewall an ihre Grenzen kommt.

      • js sagt:

        Das möchte ich gerne sehen:
        Eine Windows VPN Software, die mit Clientzertifikaten oder PSKs beim Systemstart rechtzeitig die VPN Verbindung aufbaut und die Grouppolicy-Engine überreden kann, bitte darauf zu warten, dass erstmal Infrastrukturkontakt aufgebaut ist.
        …und nicht noch risikoreicher jederzeit von Microsoft stillgelegt werden kann als die eigene Hausimplementierung…
        (Ich frage unwissend und zugegebenermaßen pessimistisch.)

        • 1ST1 sagt:

          Das neu Laden der Group-Policies nach Verbindungsherstellung des VPNs kannst du selbst per Aufgabenplanung erledigen, man kann da Prozesse anhand z.B. auftretenden Event-IDs starten, da muss man halt mal schauen, ob/welche Event-IDs die VPN-Lösung so in den Windows-Event-Log so rein schreibt. Das einzige was da nicht wirklich geht, sind Startup- und Anmelde-Scripte aus einer Gruppenrichtline heraus. Tipp: Denk mal drüber nach, ob du gewisse Sachen, die du so per Startup-/Anmelde-Script machst, ob du die auch per Abmelde/Shutdown-Script noch schnell erledigen kannst, bevor die VPN-Verbindung weg ist. Wir verteilen so z.B. bestimmte obligatorische Agents, LAPs usw. auf dem Weg.

          • js sagt:

            die gpos werden so oder so nach 1-2 stündchen geholt. ich habe ggf. längst für scriptunternehmungen scheduled tasks, die schön brav abwarten und kriterien checken wann die infrastruktur da ist und warten wenn nicht, aber der spalt zwischen systemstart und userlogon ist halt einfach weg.
            bei uns gibts sonst noch anyconnect mit sbl aber das verpennen user auch oder sind genervt davon – deren alwayson würde auch grundsätzlich erst nach logon anspringen.
            ist aber auch alles wurst – soll ja sowieso alles MDM sein heutzutage, ich wollte vorhin eher auf die pauschalität deines firewallvorschlags eingehen :)

Schreibe einen Kommentar zu 1ST1 Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.