[English]Noch ein kleiner Nachtrag vom April 2024-Patchday. Die Updates scheinen zu Problemen mit VPN-Verbindungen unter Windows 10 und Windows 11 zu führen. Jedenfalls hat Microsoft entsprechende Nutzermeldungen erhalten und untersucht den Vorfall, wie das Unternehmen zum 30. April 2024 mitteilte.
Anzeige
Ich bin über die patchmanagement.org-Liste darauf aufmerksam geworden, dass es ein Problem mit den April 2024-Updates gibt. Microsoft hat zum 30. April 2024 auf der Windows Health-Statusseite den Eintrag VPN connections might fail after installing the April 2024 security update veröffentlicht. Dort heißt es, dass es unter Windows nach der Installation des Sicherheitsupdates vom April 2024 (z.B. KB5036893) oder des nicht sicherheitsrelevanten Preview-Updates vom April 2024 zu Fehlern bei der VPN-Verbindung kommen kann. Jedenfalls hat Microsoft entsprechende Nutzerberichte erhalten und untersucht das Problem. Betroffen sind folgende Windows-Versionen:
- Windows 11 Version 22H2 – 23H2: KB5036893
- Windows 11 Version 21H2: KB5036894
- Windows 10 Version 21H2 – 22H2: KB5036892
- Windows Server 2022: KB5036909
- Windows Server 2019: KB5036896
- Windows Server 2016: KB5036899
- Windows Server 2012 R2: KB5036960
- Windows Server 2012: KB5036969
- Windows Server 2008 R2 SP1: KB5036967
- Windows Server 2008 SP2: KB5036932
Sobald Details vorliegen, will Microsoft entsprechende Informationen vorlegen.
Kein offizieller Workaround
Einzige Möglichkeit, als Betroffener das Problem zu korrigieren, ist die Deinstallation des kumulativen Updates und die Blockade der Installation dieses und aller folgenden Updates. Zur Deinstallation des letzten kumulativen Update (LCU) ist die Befehlszeilenoption
DISM/Remove-Package xxxx
Anzeige
mit dem Namen (xxx) des Updates als Argument zu verwenden. Der Paketname lässt sich mit dem Befehl:
DISM /online /get-packages
ermitteln. Auf verwalteten Systemen ist dann das Update zur weiteren Installation zu sperren.
Ähnliche Artikel:
Microsoft Security Update Summary (9. April 2024)
Patchday: Windows 10-Updates (9. April 2024)
Patchday: Windows 11/Server 2022-Updates (9. April 2024)
Windows Server 2012 / R2 und Windows 7 (9. April 2024)
Anzeige
Bei uns half die Deaktivierung von IPv6 (per Registry-Eintrag).
Das ist leider nicht immer möglich.
Wie genau? (denn es gibt mehrere Wege das zu tun)
Darf ich fragen, wie du auf den Lösungsweg gekommen bist?
Danke.
Es gab noch andere Verbindungsprobleme, die aber bei reinen IPv4-Anbindungen nicht auftraten. Ich kann aber nicht sagen, ob das jetzt wirklich das o.G. Problem ist oder nur ein ähnliches.
Der Komentar von Hans deutet auch in diese Richtung.
Oft ist in den privaten Netzen von Hotels etc. die IPv6-Unterstützung mit einem Update dazu gekommen, aber nie konfiguriert worden. Microsoft scheint IPv6 nun massiv zu puschen und ein Fallback auf IPv4 bei unterbrochenem Routing nicht zu funktionieren.
Welche VPN Verbindungen sind denn betroffen?
IPSEC, OpenVPN, Wireguard oder allgemein alles? Letzteres würde mich wundern, weil die eingesetzte Technik und Treiber sich ja doch erheblich unterscheiden.
Kann ich bestätigen. Wir haben das Update KB5036892 und den Sophos Client.
Hier scheint ein möglicher Work Around zu sein: Microsoft says April Windows updates break VPN connections
Da wir das Update noch nicht freigegeben haben (und wohl erstmal auch nicht werden…) kann ich zum Glück nichts weiter zu dem Thema beitragen.
—
GB: Hab den Link nachgetragen – den Beitrag der Kollegen kannte ich – aber da steht auch nichts außer "Update deinstallieren".
Mit den GPO Einstellungen Prefer IPv4 over IPv6 haben wir keine bekannten Probleme mit VPN bis jetzt mit dem April Update. Allerdings war der vorher schon gesetzt, ob es ohne zu Problemen kommt kann ich deswegen nicht sagen.
Keine Probleme mit dem nativen Windows VPN Client und IPSec Verbindungen zu einer pfsense. Einzig das Routing musste ich nochmal setzen. Das habe ich aber auf mein GPO Rollout geschoben. Auch beim Kunden bisher keine negativen Rückmeldungen. Aufbau ist gleich.
Das Update zu entfernen hat bei uns nicht geholfen. Der Tip von Andy, IPv6 zu deaktivieren hat geholfen. Der Fehler trat bei uns nur bei Clients auf, welche auf dem phys. Adapter eine IPv6 erhalten haben. Bei uns hat die Namensauflösung nicht mehr ordentlich funktioniert. Alle Aufrufe die auf einen DNS-Namen gezeigt haben, egal ob http oder ping haben den Host nicht gefunden. Ein nslookup hat ordentlich funktioniert. Im Wireshark konnten wir sehen, das der korrekte DNS-Server angesprochen wurde und die richtige Antwort auch zurück kam. Nur hat Windows das irgendwie nicht interessiert… Bin gespannt was da noch von MS kommt.