Wie schaut es bei Windows VPN-Verbindungen mit Problemen aus (März 2022)

WindowsDie von Microsoft zum 11. Januar 2022 freigegebenen Sicherheitsupdates für Windows hatten dazu geführt, dass IPSec VPN-Verbindungen mit Bordmitteln nicht mehr funktionierten. Zum 17. und 18. Januar 2022 hat Microsoft Sonderupdates veröffentlicht, die auch diesen Fehler beheben sollen. Inzwischen haben sich aber Blog-Leser gemeldet, die weiterhin Probleme mit VPN-Verbindungen beklagen. Wie sieht es am Tag vor dem März 2022 Patch-Day bei euch diesbezüglich aus?

IPSec VPN-Verbindungprobleme

Nach Installation der zum 11. Januar 2022 freigegebenen Sicherheitsupdates beklagten sich zahlreiche Nutzer, dass unter Windows IPSec VPN-Verbindungen mit Bordmitteln nicht mehr aufgebaut werden konnten. Dabei war es egal, ob das Layer 2 Tunneling Protocol (L2TP) oder IP security Internet Key Exchange (IPSEC IKE) verwendet wurden (siehe Windows VPN-Verbindungen (L2TP over IPSEC) nach Januar 2022-Update kaputt). Microsoft hat das Problem bestätigt und schrieb:

IP Security (IPSEC) connections which contain a Vendor ID might fail. VPN connections using Layer 2 Tunneling Protocol (L2TP) or IP security Internet Key Exchange (IPSEC IKE) might also be affected.

Nutzer, die auf die IPSec VPN-Verbindungen von Windows angewiesen waren, konnten Cisco Meraki MX-Appliances, Ubiquiti oder die Gateways von Mikrotik und Fortigate sowie SonicWall-Instanzen nicht mehr erreichen. Betroffen waren Windows-Versionen, sobald folgende Sicherheitsupdates installiert waren. Von Microsoft stehen folgende Sonderupdates vom 17. / 18. Januar 2022 zur Verfügung:

die diese IPSec VPN-Verbindungprobleme beheben sollen. Ich hatte im Blog-Beitrag Nachlese: Fix für Windows IPSec VPN-Verbindungproblem die Details zusammen gefasst.

Nutzer berichtet Probleme

Mir sind aber vereinzelt Berichte untergekommen, dass die Sonder-Updates sowie die Februar 2022 Sicherheitsupdates das Problem nicht wirklich in allen Fällen beheben. In diesem Kommentar schreibt Nutzer SurfTest im Februar 2022, dass die Probleme nicht behoben seien:

Ich habe das Problem bei mehreren Netzwerkumgebungen festgestellt an drei verschiedenen Standorten.
Konfiguration:
– Mehrere Clients Win 10 in einer MS Domäne
– Domäin Serer 2012 welches auch die VPN Verbindungen zur Verfügung stellt
– FritzBox 7490 als Router
Ich wäre sehr dankbar, wenn jemand dasselbe Problem hat und evtl. eine Lösung dazu.

Und in einem Folgekommentar vom März 2022 ergänzt er:

Ich habe bereits ein Kommentar geschrieben, war aber wohl zu wenig deutlich.
Die Probleme bestehen bei mir und bei inzwischen 4 mir bekannten Standorte immer noch und zwar:

  • Zuerst gab es anfangs Januar die bekannten VPN Probleme mit dem KB5009543,
    VPN konnte gar nicht erst aufgebaut werden und kam eine Fehlermeldung.
    Nach der Deinstallation vom KB5009543 war alles wieder OK.
    – Später kam den „out of band fix“ KB50107943.
  • Nach der Installation KB50107943 konnte / kann man problemlos wieder
    eine VPN Verbindung herstellen.
  • Aber beim Zugriff auf Netzfreigaben aller Art, kam und kommt die Meldung:
    „Vergewissern Sie sich, dass der Name richtig geschrieben wurde. usw.““
    und im system.log steht „Der Kerberos-Client hat einen
    KRB_AP_ERR_MODIFIED-Fehler von Server „Servername$“ empfangen, usw.“

Deinstalliere ich die oob KB, ist alles wieder OK. Beide oben beschriebenen Probleme habe ich auch mit Windows 11 und die
entsprechenden KBs dazu.

Wie gesagt, das Problem kann ich inzwischen an 4 unterschiedlichen Standorten reproduzieren, egal ob die VPN Verbindung innerhalb der eigene Domäne aufgebaut wird, oder von einem Standort zu einem anderen. Alle 4 Standorte nutzen MS VPN L2TP.

Die Deinstallation der KBs löste im Januar das Problem. Aber jetzt kommen die Februar KBs, und diese verursachen wieder dasselbe Problem. Und man muss auch diese deinstallieren, das kann ich aber nicht ewig so handhaben.

Es sieht so aus, als ob die VPN-Probleme zwar behoben sind, aber Netzwerkfreigaben jetzt Probleme machen. Bleibt die Frage, ob dies ein Einzelfall ist, oder ob es noch mehr Betroffene oder andere Probleme gibt. Microsoft hat zum KRB_AP_ERR_MODIFIED-Fehler diesen Support-Artikel veröffentlicht – der aber nicht zu passen scheint. Von CyberArk gibt es diesen Artikel, der auf DNS-Auflösungsprobleme hinweist. Ob die GPOs aus diesem Artikel helfen, ist mir unbekannt.

Ähnliche Artikel:
Patchday: Windows 8.1/Server 2012 R2-Updates (11. Januar 2022), mögliche Boot-Probleme
Patchday: Windows 10-Updates (11. Januar 2022)
Patchday: Windows 11-Updates (11.Januar 2022)
Patchday: Updates für Windows 7/Server 2008 R2 (11. Januar 2022)
Patchday: Microsoft Office Updates (11. Januar 2022)

Windows Server: Januar 2022-Sicherheitsupdates verursachen Boot-Schleife
Windows VPN-Verbindungen (L2TP over IPSEC) nach Januar 2022-Update kaputt
Windows Server 2012/R2: Januar 2022 Update KB5009586 brickt Hyper-V Host
Microsoft Januar 2022 Patchday-Revisionen (14.1.2022)

Sonderupdates für Windows mit Fixes für Jan. 2022-Patchday-Probleme (17.1.2022)
Windows 11/Server 2022 Sonderupdates mit Fixes für Jan. 2022-Patchday-Probleme (17.1.2022)
Windows 10/Server: Sonderupdates mit Fixes für Jan. 2022-Patchday-Probleme (17.1.2022)
Windows 7/8.1; Server 2008R2/2012R2: Sonderupdates mit Fixes für Jan. 2022-Patchday-Probleme (17.1.2022)
Sonderupdate für Windows Server 2019 fixt Jan. 2022-Patchday-Probleme (18.1.2022)
Nachlese: Fix für Windows IPSec VPN-Verbindungproblem

Dieser Beitrag wurde unter Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu Wie schaut es bei Windows VPN-Verbindungen mit Problemen aus (März 2022)

  1. Niels sagt:

    Mir wurde zugetragen das einige temporär mit drittanbieter VPN Clients gearbeitet haben (Shrew VPN), ich kann dir aber nicht aus eigener Erfahrung sagen wie gut dieser Workaround ist.
    Grundsätzlich nutzen glaube ich die meisten Hardware Appliances und haben seperate VPN Clients, zumindest in meinem Umfeld, daher haben nicht viele diese Thematik.

    Wenn mit allen Updates die VPN Verbindung geht und nur SMB nicht, welche Dienste gehen? Ping? Http? Klappt die Namensauflösung korrekt?

  2. Michel Py sagt:

    Windows 10 und 11, mit integrierte L2TP VPN, funktionieren nach Januar Sonderupdate wieder. Gegenstelle ist meistens ein Zyxel USG oder ATP Firewall.

  3. Jackie sagt:

    Ich betreue mehrere Windows Clients mit IPSEC (IKEv2) Verbindung zu verschiedenen pfsense Firewalls. Ich nutze den integrierten Windows VPN-Client habe diesen aber mittels Powershell etwas aufgebohrt damit ich bessere Verschlüsselungsalgorithmen nutzen kann. Bei den von mir betreuten Clients gab es bis jetzt keine Probleme auch mit den problematischen Updates nicht.

  4. Michael sagt:

    Hier auch selbe Clients Kombi 10+11 keine Probleme mehr, Gegenstelle Mikrotik.

    Mit DNS Auflösungen gibt es bei mir nur Probleme wenn ich die Windows 10+11 Clients nicht manuell unter TCP/IP DNS ändere und dort den DNS-Suffix Eintrage.

    Siehe auch :

    https://www.tecchannel.de/a/dns-und-active-directory-die-namensaufloesung-im-netzwerk-sicherstellen,2040116,4

    https://www.andysblog.de/windows-primaeres-dns-suffix-aendern

  5. Cornelia sagt:

    Ich versuchte am letzten Wochenende erfolglos, eine VPN-Verbindung herzustellen.

    Die Ausgangslage ist allerdings etwas anders und somit vielleicht nicht mit diesem Problem verbunden:
    Das Ziel ist ein Synology NAS hinter einem Internetrouter, den ich kürzlich auf IPv4 umstellen liess. Nach der Umstellung funktionierte die Weiterleitung von Port 80 sofort (was vorher nicht ging), aber das VPN eben weiterhin nicht.

  6. n8c sagt:

    Seit dem Sonderupdate* keine Probleme mehr.
    Meraki, 20H2/21H2.

    *
    Schön den Zerstörpatch automatisch verteilen, aber zum Fix sollen alle einzeln am Client klicken. Na danke.
    Und sich auch nur 4 Tage Zeit damit gelassen.

  7. Henry Barson sagt:

    Man beachte, speziell bei Windows 11 auch, dass bestimmte VPN-Clients, wie bspw. der berühmt-berüchtigte Fort-Client nicht funktionieren, wenn die neuen Netzwerktreiber (egal ob LAN oder WiFi) ohne NDIS-„Interface“ installiert sind, da jene VPN-Clients mit Paketfiltertreiber arbeiten, die sich über NDIS „einklinken“. Man muss quasi ein „Downgrade“ von Win11- (die es bei OS-Installation meist schon mitbringt) auf Win10-Treiber durchführen, dann funktionieren diese VPN-Clients auch unter Windows 11 wieder reibungslos.

    Bezüglich IKEv2-Verbindungen bspw. zu Watchguard Fireboxes hatte ich seit den Patches im Januar keinerlei Probleme mehr mit dem integrierten Windows-VPN-Client.

  8. Tyramizou sagt:

    privat habe ich einen Drittanbieter VPN Client und habe bisher noch keinerlei Probleme.

    Von unserem Home-Office Leuten gibt’s nix zu berichten.

    Ich halte aber mal die Ohren offen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert