Versagt der Fix KB4487345 bei Windows Server 2008 R2?

win7[English]Microsoft hat kürzlich den Fix KB4487345 zur Korrektur des Netzwerkbugs in Windows 7 Service Pack 1 und Windows Server 2008 R2 freigegeben. Nun gibt es Hinweise, dass dieser Fix unter Windows Server 2008 R2 nicht wirken soll.

Worum geht es beim Netzwerk-Bug?

Die am 8. Januar 2018 für Windows 7 SP1 und Windows Server 2008 R2 SP1 freigegebenen Updates KB4480970 (Monthly Rollup) und KB4480960 (Security only) führten zu Kollateralschäden.

  • Zahlreiche Nutzer konnten nach der Installation des Updates nicht mehr auf (administrative) Netzwerkfreigaben zugreifen.
  • Das Netzwerkproblem betrifft auch SMBv1-Shares, die von Scannern oder Fax-Geräten genutzt werden.
  • DATEV-Anwender litten auch darunter, dass die Zugriffe auf Netzwerkfreigaben nicht mehr funktionierten.

Ich hatte das Problem bezüglich der Netzwerkzugriffe näher im Blog-Beitrag Netzwerkprobleme mit KB4480970 (Monthly Rollup)/KB4480960 beschrieben. Dort wurde auch ein Workaround gepostet: Durch Änderung der LocalAccountTokenFilterPolicy in der Registrierung die Zugriffe wieder zu ermöglichen.

Microsoft liefert den Fix KB4487345

Microsoft veröffentlichte am 11. Januar 2018 den KB-Artikel Description of the update for Windows 7 SP1 and Windows Server 2008 R2: January 11, 2019 stellt Microsoft einen Fix (KB4487345) für das Problem bereit.

This update resolves the issue where local users who are part of the local “Administrators“ group may not be able to remotely access shares on Windows 7 SP1 and Windows Server 2008 R2 machines after installing the January 8th, 2019 security updates. This does not affect domain accounts in the local “Administrators” group.

Der Fix lässt sich als Standalone-Update aus dem Microsoft Update Catalog herunterladen, muss aber manuell installiert werden. Ich hatte im Artikel Fix für das Windows 7-Netzwerkproblem mit Update KB4480970/KB4480960 darüber berichtet und bin davon ausgegangen, dass der Fix die Probleme beim Zugriff auf Freigaben von administrativen Konten löst. Sprich: Die oben erwähnte Änderung der LocalAccountTokenFilterPolicy in der Registrierung wird auch nicht mehr benötigt. Aus Sicherheitsgründen sollte man dass diese Richtlinie wieder deaktivieren.

Wirkt der Fix nicht?

In diesem Kommentar weist ein Nutzer bereits darauf hin, dass Update KB4487345 aus dem Microsoft Update Catalog die Updates:

  • Update für Windows 7 (KB3121255)
  • Update für Windows 7 (KB3156417)

ersetzt. Die gleiche Info hat jemand bei AskWoody durch Inspektion des Pakets herausgefunden. Im Blog und bei Askwoody findet sich die Rückmeldung, dass der oben erwähnte Fix wohl bei Problemen beim Exchange-Zugriff sowie bei Multifunktionsgeräten, die auf SMBv1-Freigaben Scans speichern, geholfen hat.

Ich habe aber jetzt zwei Rückmeldungen im Blog über die nachfolgenden Kommentare erhalten, dass der Microsoft-Fix KB4487345 das Problem mit den blockierten Zugriffen auf die Netzwerkfreigaben nicht löst. In diesem Kommentar schreibt Blog-Leser Sebastian:

wir haben zwei Rechner in einer externen Verwaltung die hatten das Problem.

Leider hatte der Patch von MS keine Abhilfe geschaffen?
Istalliert wurde er, “Client” und “Server” wurden neu gestartet aber Zugriff war nicht möglich. – hat sonst wer das auch erlebt?

Erst nach Setzen des RegKeys – ging nicht anders.

Habe ich als ‘Einzelmeldung’ erst einmal nicht weiter thematisiert. Nun ist vor einigen Stunden ein zweiter Kommentar eingetroffen:

KB4487345 behebt entgegen der KB-Artikel-Beschreibung das Problem des Share-Zugriffs nicht. Dazu bedarf es des Registry-Eintrages. Getestet hier auf mehreren 2008R2-Servern.

Das ist der Punkt, wo ich das Thema in einem separaten Blog-Beitrag hier nun zur Diskussion stelle. Ich kann es aus Aufwandsgründen aktuell nicht testen (und Server habe ich eh keine in Betrieb). Hat bei euch der Fix (ohne Änderung der LocalAccountTokenFilterPolicy in der Registrierung) die Zugriffsprobleme auf Netzwerkfreigaben behoben? Oder war die Anpassung des Registrierungseintrags trotzdem erforderlich? In diesem Fall ist der Fix ziemlich nutzlos.

Ähnliche Artikel:
Patchday Windows 10-Updates (8. Januar 2019)
Patchday: Updates für Windows 7/8.1/Server 8. Jan. 2019
Netzwerkprobleme mit KB4480970 (Monthly Rollup)/KB4480960
Fix für das Windows 7-Netzwerkproblem mit Update KB4480970/KB4480960
Windows 10: Netzwerkbug, Fix soll später kommen

Dieser Beitrag wurde unter Netzwerk, Update, Windows Server abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Versagt der Fix KB4487345 bei Windows Server 2008 R2?

  1. Harald.L sagt:

    Der 2008R2 der hier betroffen war ist nur ein reiner WSUS, bietet oder nutzt keine Netzwerkfreigaben. Hier war das Problem daß man per RDP nicht mehr drauf kam (mit einem Account der lokaler Admin ist). Da half zuerst der Registry-Key und dann das Update KB4487348. Nach diesem konnte ich den Registry-Key wieder entfernen. Also zumindest das RDP-Problem wurde gefixt.

  2. Robert Richter sagt:

    Also, dass dieser Fix das RDP Problem unter 2008 R2 beseitigt, kann ich bestätigen.
    Ohne den Fix konnten User, die auch Mitglied der Administrator-Group sind, sich nicht per RDP verbinden. Nach dem Fix KB4487345 (ohne irgendwelche Registry Einträge) hat es wieder wunderbar funktioniert.
    Zum genaueren Austesten bzgl. der Shares sind wir noch nicht gekommen.
    Interessant wäre zu wissen, inwieweit MS diesen Fix beim nächsten Patchday berücksichtigt (bis dahin sollten wir das mit den Shares ausgetestet haben).

  3. Bolko sagt:

    In dem verlinkten Kommentar wird bezüglich KB3156417 behauptet:
    „KB3156417 war ein Rollup auf das man während der versuchten (Zwangs)Win10-Migration eigentlich verzichtet hat.“

    Wie kommt man zu dieser Meinung?
    KB3156417 ist auch im KB3192391 (security-only vom Oktober 2016) enthalten.
    Ich halte das für ungefährlich und sinnvoll, da es ein Speicherleck in lsass.exe fixt.

  4. RalphAndreas sagt:

    Eine Frage bleibt hier noch offen, ob dieser Fix auch die Bootschleifen behebt.
    https://www.borncity.com/blog/2019/01/14/boot-schleifen-bei-januar-2019-updates-im-server-bereich/
    Und wem darf man die Rechnung schicken für mehrere aus den Backups wiederzuherstellenden Systemen ?

  5. Sebastian sagt:

    Guten Morgen zusammen,

    ich bin der betroffene User mit den zwei Rechnern.
    Nur zur Richtigstellung.

    Der „Client“ ist ein Windows 10 1803 Rechner
    Der „Server“ ist ein Windows 7 Pro Rechner
    Die beiden sind nur über einen Switch verbunden.

    Ein Server hängt nicht mit drin.

    Der Patch half nicht für die Freigaben.
    Nur wie schon geschrieben, war es nötig den RegKey zu setzen um die Funktion wieder herzustellen.

    Schönen Wochenstart

    Sebastian

  6. Uwe sagt:

    Hier bei reinen W7 Client hat das Ding geholfen. Gott sei Dank! Da die Herabstufung des Users auf Standard die BL Freischaltung versaute. Uwe

  7. zig sagt:

    Bei zwei W2kR8 Servern hat der 4487345 einerseits das SMB und andererseits das RDP Zugangsproblem gelöst ohne dass wir Reg-Einträge verwendet hatten/haben.
    Clients sind Win7 und Win10.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert