KB5028166 frissítés elrontja a távoli hozzáférést

Microsoft Windows

Szevasztok!
Azt szeretném kérdezni, hogy másnál jelentkezett-e az a probléma, hogy a Összesítő frissítés 22H2 (x64) KB5028166 elrontja a távoli asztal hozzáférést (külső hálózatból)?
Jelenleg egy domain-ben lévő gépeket nem lehet elérni távoli asztallal (remmina) a frissítés telepítése után (belső hálózatban továbbra is látják egymást a gépek).
A jelenség gyökere ott keresendő, hogy a sysdm.cpl -- Távoli használat -- Távoli asztal -- Felhasználók kijelölése területen egyszerűen nem enged AD-ből csoportokat/felhasználókat felvenni, a távoli hozzáférés ezért meghiúsul! Pontosabban ki lehet ezeket az objektumokat tallózni, de a folyamat végén az említett lapon egy kérdőjeles ikon jelenik meg, és utána a csoport/felhasználó név már nem látható.

Tapasztaltátok már ezt?

Ha törlöm a fent nevezett frissítést, a probléma megszűnik.

  • 3675 megtekintés

( hnsz2002 v | 2023. 07. 12., sze – 21:15 )

Ma tapasztaltuk mi is több helyen, más számmal, de megvan a frissítés 2016 és 2019-re is. A jelenség az volt, hogy fqdn nevével, windowsról be lehetett rá lépni, de IP-vel vagy linuxról, illetve kívülről nem.

Egyelőre leszedtük mi is, nem tudtunk vele mit kezdeni.

"Sose a gép a hülye."

( Helios | 2023. 07. 13., cs – 09:02 )

Szerkesztve: 2023. 07. 13., cs – 09:09

Tudom, hogy nem segít senki baján, de gyanítom, hogy ez a probléma nem véletlen hiba eredménye, hanem a már korábban beharangozott Kerberos javítások miatt jelentkezik. (például)

( mickeyratt | 2023. 07. 13., cs – 18:19 )

Szerkesztve: 2023. 07. 13., cs – 18:30

Nálunk is ez a helyzet, samba-AD és 150 körüli w10/w11 kliens (közigazgatásban). FQDN-el hivatkozva megy, IP címmel nem.
Számos otthoni home-office user van, akik OpenVPN-el kapcsolódnak be a hivatali hálózatba és persze mind IP címmel létesítenének RDP kapcsolatot a hivatali asztali gépükkel ami így természetesen nem működik. Nagyon kellemes egy dolog.... :(

UPDATE:
Most találtam:
https://www.reddit.com/r/sysadmin/comments/14xmkw6/for_people_using_samba_and_windows_10_latest/

Úgy néz ki, súlyosabb a helyzet mint hogy az RDP nem megy. A domain megbízhatóság is törik.
Én is ezt tapasztaltam a kliensek event logjaiból (NETLOGON 3210-es üzenetek:
"Ez a számítógép nem hitelesíthető a következővel: \\dc1.xxx.hu, amely a(z) XXX tartomány tartományvezérlője, és ezért a számítógép megtagadhatja a bejelentkezési kérelmeket. Ez azért történhet, mert lehet, hogy egy másik számítógép a hálózaton ugyanezen a néven jelentkezett be, vagy a számítógép neve és jelszava nem ismerhető fel. Ha ez az üzenet újra megjelenik, lépjen kapcsolatba a rendszergazdával."

A megoldás egyenlőre a KB5028166 eltávolítása nálunk is.

Anno unix szerverek, windows kliensek környezettel egész jól elkaristoltunk KKV-nál, kb. ezekből az okokból kifolyólag, kb. ebben a sorrendben:

  • Pénz. Ja. Amikor megmondtuk, hogy mennyi gépre mi kéne, akkor az összes viszonteladó a jó vastagon fogó ceruzát vette elő. Aztán az egyik kolléga, aki amúgy gépészmérnök, elővette a Google-t, és megtalálta hogy van olyan hogy MAP, amire kb. teljesen jogosultak voltunk, és az ára se vészes, és szépen lefedte az igényeinket. Úgy vettem észre, hogy pármilliárdos megrendelés alatt nem éri meg nekik energiát beleölni, vedd meg listaáron, vagy kotródj.
  • Licencelés. Én bevallottam, hogy nem értem a MS licencelését, és drágán tudok venni mindent, de ésszel nem. Annyira, hogy hívtunk embert, aki állította, hogy nagyon vágja a dolgot. Ha jól tudom, azóta se válaszolt a kérdéseinkre (volt ez olyan 5-6 éve kábé).
    • Részben a fentiek miatt para a vendor lock in (mert ha van már AD, akkor legyen excséncs meg kutluk, meg lehessen visszahívni az elküldött leveleket, megazanyánkínnya), meg elmigrálni az amúgy jól működő win-unix rendszerről tisztán win-re, aztán ha valami miatt nem tetszik a rendszer, akkor meg vissza (és nem lesz kutluk).
  • Érteni is kell hozzá. Én nem értek hozzá. Még meg is tanulnám, ha arról volna szó, de a fentiek miatt se erőltettem, hogy azért legyen már, mert milyen jó az.

Mindezek ellenére amikor felmondtam, akkor aki a helyemre került, mivel windowsos emberke, átvariálta a céget MS alapokra. Egy pillanatig nem állítom hogy rossz döntés volt, nyilván eleinte voltak mormogások, hogy ez miért nem úgy van ahogy régen volt, de a cég még működik, szóval őrület nagy baj nem lehetett azóta.

... viszont nincsenek ilyen szopások, hogy egyik reggel arra ébredsz, hogy megállt a fele.

 

"Mert több az erőforrásigénye"
Mostani vasakkal nem mérvadó. 1 munkaóra jelenleg többe kerül mint 1GB memória.

"Mert sokba kerül"
Ezt elfogadom, bár a "sok", az relatív, és licensz függő.

 

"Mert kb. semmi pluszt nem ad a windows server"

GPO-k is simán mennek? A dokumentációban ezt olvasom "If you do use an AD DC as a fileserver, you must be aware that it can be problematic and can cause strange errors."
Windows szerverrel ilyen gond nincs. (Nyilván ott is dedikált AD-t illene tartani, de ettől még gond nélkül működik)

 

Nem trollkodni akarok, csak felmerült bennem, hogy kipróbálom élesben is, de egyelőre úgy látom, hogy lehet, hogy drágább a windows szerver, de azzal kevesebb a meló (Alap kkv-nál kb. next-next finish az AD role telepítése) és a szopás, mint egy linuxos AD-val.

Accordo Group Ltd Salary for Licensing Consultant

Avg. Base Salary (USD)

$56,521 /year

What is the average salary for a Licensing Consultant at Accordo Group Ltd in the United States?

Based on our data, it appears that the optimal compensation range for a Licensing Consultant at Accordo Group Ltd is between $50,436 and $61,428, with an average salary of $56,521. Salaries can vary widely depending on the region, the department and many other important factors such as the employee’s level of education, certifications and additional skills.

És inkább szopok technikai problémákkal mint velük ;) (bár úgy tűnik az ezoterika jobban fizet :))

Ez az egyik v-endor@microsoft.com

occsóért dolgoznak...  a linuxos mérnököt szopórollerre ültetni drágább móka: "The average salary for a linux systems engineer is $109,078 in the US. The average linux systems engineer salary ranges between $80,000 and $147,000 in the US."

de nem igazán értem, hogy hogy jön a magyar környezetbe egy amerikai MS licenszelési konzultáns éves keresete.
Egyébként ahol licenszelési konzultánsra van szükség, ott azt meg is engedhetik maguknak.

Én mondjuk valamennyit foglalkoztam MS licenszeléssel (illetve más cégek licenszeivel), úgyhogy ez nem érint. Azt próbálom felmérni, hogy mekkora meló az implementálása és életben tartása a linux AD-nek, megéri -e az árkülönbség.

Pl:
Most random nagykerben 140k Ft 10 user CAL windows szerverhez. Egy 50 useres környezetben ha havonta 1 órát spórol az ember a windows AD-vel, a linuxxal szemben, akkor olcsóbb a windows.*

 

*3 éves TCO-t nézve, átlagosan 16 000Ft-os  órabérrel számolva.

Úgy, hogy magyar környezetbe küldi ki a Microsoft Hungary , a szlovák (a telefonszáma talán szlovák volt) a SAM (Software Asset Management) haver csávót , hogy X napon töltsd ki a lejárt tanúsítvánnyal (innen az Accordo licensing at its excellence (TM)) aláírt makróval telebaszott Excel tábláját  (van benne eastern egg is ha X szer kattintsz a Microsoft logora). Írd össze hány telefon, nyomtató, püttypürütty van a hálózatodon, kapard össze az office dobozokat (regisztrálj termék kulcsot termékkulcsért (TM) egy terméknél ami nem per user hanem per computer licenszelésű)  coa-kat fotózd végig . 

Aztán magyarázd meg az excellence-nek, hogy a Windows szervereden egy nyomorult magyar megoldást szállító nyomorult magyar megoldása van, nem DC tartományban sincs azért van mert valamelyik fasz csak így támogatta a hulladék "megoldását".

Aztán értetlenkedtek azon is , hogy miért nincs beírva az exchange (mert nincs?) aztán a utólag kiderült, hogy beírtak valami hulladék hulladék pályázatba kapcsolattartónak csak erről senki se szólt , vettek  valami hülye licensz szerződésben valami szarságot egy intézménynek ahol nem igazán vagyok bejáratos sem és amit amúgy az életben nem használtak... Mert nem volt IT-s se aki beállítsa (Brusszels money well spent again)

Mindenesetre ez a remek megkeresés egy életre megerősített abban , hogy ez nem kell nekem, olvasgasson Microsoft licenszelési dokumentumokat akkor ezért fizetnek ;)

... hmm.. eléggé a lelkedre vetted, bár az, hogy a munkaadód (valamelyik vezetője) egy inkompetens hülye, még nem az MS hibája.

Volt nekem is szerencsém MS audithoz, és bár elég kellemetlen élmény volt, azért azt el kell ismerni, hogy profin csinálták, és nem volt ilyen hülye maszatolás mint amit te is írsz.

De ez nagyon off, engem pusztán műszaki/gazdasági oldalról érdekel a samba AD létjogosultsága.

Nem egy, hanem az összes. :)

Itt Samba AD azért van mert a Marsnwe nem váltotta be a hozzá fűzött  reményeket (az sem azért volt mert sokkal jobb választás mint a novell, hanem mert az kijött az erre szánt 0 huf-ból :))

Ha valami örök az az, hogy IT-re sosincs pénz( kivéve pályázatok aminek a szépsége , hogy öt évig áll a dobozban a szünetmentes/szerver/whatever mert csak a projektben lehet használni (végére a saját dobozában megy tönkre),  vagy hoznak jó kis Ciscos Ip telefonokat az analóg központhoz ;)) .

Mar vagy 5 eve a kozeleben sem jartam microsoftos vallalati licencszerzodesnek, ugyhogy kezeld fenntartasokkal, amit mondok. :)

Az, hogy egy szerzodesben benne van, hogy a vendor, vagy annak megbizottja auditalhatja a licencelest, az egy dolog. Elkeri a leltart, azt oda tudod neki adni relativ egyszeruen, hiszen ugyis van license management a cegnel (ugye? :)). De (es nem vagyok ugyved) szerintem mindenfele jottment hulyegyerekek, akikkel nem is vagyok szerzodeses kapcsolatban, nem turaztathatnak felesleges extra meloval, azt a koltseget valakinek (nekem, nekik, akarmi) ki kell fizetnie.

Nyilvan en sem ugy csinalnam, hogy kiallitanek szo nelkul egy szamlat, hanem mar a projekt elejen megkerdeznem (ha nem eleg a keszen kapott inventory), hogy sracok, itt van Jozsi, orankent 30 rugoert valaszol nektek barmilyen kerdesre. Mert ugye amig Jozsit baszogatjatok, addig nem tudjuk eladni ot fizetos projektre.

Erre nem tudnak előrángatni a seggükből valami sort a mikroszoft 609 oldalas eula-jából, ami ködösen azt is jelentheti h. a megbízott alvállalkozó (itt a kérdéses licenszbaszogtatós kullancs kft) jogosult megbizonyosodni a legális státuszról, amit az érintett áldozat ("én") szükséges végrehajtani?

Az siman benne lehet, hogy koteles vagy egyuttmukodni, de civilizalt orszag jogrendszereben szerintem nem mukodik az, hogy korlatlan eroforrast kell erre biztositanod a sajat koltsegedre. 

Ugyan nem a Microsoft piocaja volt, hanem egy masike, de mi egy ilyet siman elkuldtunk a halal faszara, amikor rakezdte, hogy o marpedig melyik szervereket szeretne kiszedni a szekrenybol, hogy megszamolja benne a socketeket. Majd emlekeim szerint a CIO beszelt a szoftver szallitojaval, hogy ha meg egyszer akar csak felhivja ot valaki licencugyben, akkor tobbet nem veszunk toluk semmit, es asszem utana valoban nem is jottek soha tobbet.

Ezek nem hatosagok, barmennyire szeretnek azt jatszani. (Hello, BSA!) Ha csak utalsz ra, hogy a szazmillios szerzodes valami buzgomocsing miatt nem fog megujulni, jo esellyel az account executive szemelyesen fog elutazni Indiaba, hogy seggbe rakja az auditort, de ez semmikeppen sem jogi tanacs.

A best effort értelmezése is elég érdekes volt, mikor sok évvel ezelőtt utána olvastam. Ugye a magyar értelmezés az, h. "ahogy esik úgy puffan, majd csak lesz valami, de leginkább fűszálat se teszek keresztbe az ügy érdekében".

Ehhez képest van az angolszász értelmezés, ami szerint kb. a saját csődöd elkerüléséig nagyjából bármeddig el szükséges menned az ügy érdekében, ha a másik oldal ezt akarja. Erre jön még rá a "reasonable effort" és újabban a "commercially reasonable effort". Ami mutatja h. ezeket a szabványként használt kifejezéseket a bíróság előtt úgy lehet csűrni csavarni, ahogy az ellenérdekelt felek csak tudják.

Ilyen szempontból h. a mikroszoft melyiket írja bele az EULA-ba meg a T&C-be, elég sokféle kimenetele lehet ha jön a revizor.

User, csoport, jogosultságok, Group policy, DNS. Ezek tökéletesen mennek évek óta. Két Samba DC-t szoktunk mi is tenni, az egyik ebből fájlszerver. Nincs vele gond.

A KKV 90%-nak egy Win2003 server (de max. egy 2008) ilyen jellegű tudás szintje bőven elég még ma is, az egyetlen dolog ami miatt néha jól jönne magasabb level ilyen nagyon spéci dolgok, pl. mondjuk kiosk mód esetén win10-en tüntesd el a start menüt, tiltsd le a gépházat, ne működjenek a hotkeyek sem, és hasonlók (ugye 2008-ban nyilván még híre sem volt a gépháznak, tehát nincsenek is ilyen opciók benne). De ez nagyon spéci eset.

 

TLDR; egy linuxos ember nem szívesen szopik windows-zal, ha nem muszáj. :)

"Sose a gép a hülye."

rákeresel a hálózati driven olyan fileokra amik tartalmazzák a "hülyewindóz" kifejezést, és ez nem egyesével letölti->megnézi hogy van e benne a kifejezés-> beleteszi a találati listába a filet, hanem azt mondja a fileservernek hogy "add ide az olyan doksik listáját amiben ez benne van".

( uid_3194 | 2023. 07. 13., cs – 18:31 )

Persze. Egyelőre frissítés eltávolítás és elrejtése a móka.

( hnsz2002 v | 2023. 07. 13., cs – 21:51 )

Ha jól látom a sambások is most kaptak észbe, készül a patch.

"Sose a gép a hülye."

( hnsz2002 v | 2023. 07. 27., cs – 13:36 )

Kint van az update pár napja.

"Sose a gép a hülye."

( hnsz2002 v | 2023. 07. 27., cs – 14:58 )

Szerkesztve: 2023. 07. 27., cs – 15:32

4.16.11, 2019 szerverrel próbálva - OK.

Úgyhogy let's roll out... :)

"Sose a gép a hülye."

( hnsz2002 v | 2023. 07. 27., cs – 16:25 )

Kész is amit gyorsan meg lehetett. Fine minden eddig. Maradtak a centos 7-ek, ezek meg valószínűleg cserélve lesznek rocky 9-re.

"Sose a gép a hülye."

( PeterX | 2023. 08. 07., h – 20:37 )

KB5028244

Ennek telepítése esetén szintén meghal a távoli asztal. :-(

( ggallo | 2023. 08. 12., szo – 19:05 )

Windows 2012R2* esetén a KB5028228 okozza ugyan ezt a hibát, és nem csak az RDP nem működik jól, hanem a machine trust sem. Valójában az RDP jól működik, de csak lokális fiókkal, a tartományban nem tud hitelesíteni ilyenkor a gép. Konzolon be lehet lépni azokkal a felhasználókkal, akik már voltak bejelentkezve és a helyi auth így beengedi az AD usert. Aki még nem volt az adott gépen, az ugyan úgy nem tud bejelentkezni, mint ahogy az RDP-n keresztüli AD hitelesítés nem műkdöik.

Persze az augusztusi frissítés váltotta ezt, így elsőre azt kell eltávolítani, majd láthatóvá válik ez, ezt is el kell távolítani. Azt még nem néztem meg, hogy ha az augusztusit visszateszem, akkor megint elromlik-e, de a Windows Update az újabbat ajánlja már csak fel.

Én megértem azt, aki azt mondja, hogy Windows dekstop-hoz Windows szerver legyen, de egy 100-120 munkaállomásos polgármesteri hivatalban ennek a licencköltsége a mai Magyarországon nem kigazdálkodható. Így marad a Samba alapú AD megvalósítás. Egyébként ez szolgáltatásban tud annyit amennyi oda kell (eredeti Windows szerveren sem venne a hivatal több dolgot igénybe), csak az MS szívatásai okoznak olykor (nem csak kis) gondot.

* Mielőtt megszóltok a régi Win miatt, ez egy archív rendszer, de a törvényi kötelezettség miatt életben kell még tartani pár évig a rajta futó szoftver miatt, ami újabb Win-re nem hordozható (pontosabban nem szeretnék kifizetni az újabb szoftver árát azért, hogy meglegyen az archív rendszer).

( hnsz2002 v | 2023. 08. 19., szo – 09:09 )

Szerkesztve: 2023. 08. 19., szo – 09:10

Van még egy ügyfél, akinek nem lett újrarakva a samba. 2019-en jött egy új: KB5029247
 

tldr; próbálnám scriptezni ezek leszedését, de baszik rá a windows, nem tudom leszedni vele csak guin ha belépek és kikattingatom.

Mi ezzel a baj? Vagy mi kell még?

Remove-WindowsUpdate -KBArticleID KB5029247 -Confirm:$false
 

"Sose a gép a hülye."

( PeterX | 2023. 08. 22., k – 08:13 )

Szerkesztve: 2023. 08. 22., k – 08:15

Sziasztok!
Lenne esetleg valakinek arra ötlete, hogy ezt a KB5028166 vackot újratelepítés nélkül miként lehetne eltávolítani?
Sajnos későn értem az ügyfélhez, visszaállítási pont nincsen és a windows_old mappa sincs már meg (vagy minek is hívja magát...).
Próbáltam leszedni cmd-ből wusa-val is, meg gépházból is, de ezen kívül -- szinte -- minden mást el lehet távolítani, de ezt nem.
Gépházas eltávolítás esetén szüttyög 2-3mp-ig, aztán 0x800f0905 hibával leáll az eltávolítás folyamata.
-- sfc /scannow nem jelez problémát
-- a KB5028166 manuális telepítése/eltávolítása nem lehetséges, mert már telepítettnek jelzi (ezt csak próbaként léptem meg)

Van esetleg ezzel kapcsolatos tapasztalata, javaslata valakinek? Vagy engedjem el a problémát?
Sajnos a samba nálam is régi, a frissítés egyelőre szóba sem jöhet!

Köszönöm előre is!

Nem a felrakással van a gond, az nem sok. A költözés, főleg mikor mindenki mindig dolgozni akar. Valamikor télen lesz az átállás, mert addig a többi dolog is változik, ha már hozzá lesz nyúlva, akkor teljes újragondolása mindennek.
Az új vas már megvan, 6 virtgép már átköltözött, de lesz új router és switch is és másféle VPN, stb stb. A legutolsó lépés a fájlszerver+DC csere.