[English]Mit dem Sicherheitsupdate KB5031364 vom 10. Oktober 2023 hat Microsoft seine Windows Server 2022-Administratoren mal wieder mit einem ungewollten Feature beglückt. Die Leute haben nicht schlecht gestaunt, als nach der Update-Installation ein in der Taskleiste ein Symbol für Azure Arc Setup erschien. Wer Azure-Instanzen aus Windows Server 2022 verwalten wird, dürfte dieses optionale Feature begrüßen. Wer aber kein Azure verwendet, wird sich über die neue Bloatware aus Redmond auf Windows Server 2022 ärgern. Inzwischen herrscht daher bei Server-Administratoren Ärger und Frust über diesen neuesten Schlenker aus Redmond.
Beifang Azure ARC per Update KB5031364
Für Windows Server 2022 wurde zum 10. Oktober 2023 das kumulative Update KB5031364 freigegeben. Ich hatte es nicht wirklich erfasst, als ich im Blog-Beitrag Patchday: Windows 11/Server 2022-Updates (10. Oktober 2023) über dieses Update berichtet. Aber in der Update-Beschreibung Microsofts findet sich folgender Hinweis:
Neu! Dieses Update fügt eine optionale Komponente für das Azure Arc-Setup hinzu. Sie enthält ein neues Symbol für die Azure Arc-Taskleiste und einen neuen Server-Manager-Eintrag für die Azure Arc-Verwaltung. Es gibt auch ein grafisches Installationsprogramm für den Azure Connected Machine-Agent. Jetzt können Sie Azure Arc mit nur wenigen Klicks aktivieren. Sie müssen kein PowerShell-Skript ausführen.
Nachträgliche Ankündigung von Azure Arc
Die Jungs und Mädels aus Redmond sind „recht fix“, kam die Ankündigung der Installation dieses Goodie zum 13. Oktober 2023 in Form des Techcommunity-Beitrags Easily enable Azure Arc on Windows Server 2022, während das betreffende Update KB5031364 bereits zum 10. Oktober 2023 ausgerollt wurde.
Der staunende Leser erfährt, dass mit dem Sicherheitsupdate KB5031364 auch eine „Reihe von neuen Inbox-Erfahrungen“ auf den Windows Server 2022 gekommen sind. Dazu gehört auch Azure Arc, denn mit dem Update wird die Anbindung von Windows Server 2022 an Azure Arc vorbereitet. Azure Arc ist die Verwaltungsplattform von Microsoft für lokale und Multi-Cloud-Server.
Von Microsoft gibt es diese Supportseite auf Learn Microsoft zu Microsoft Arc. Von Microsoft heißt es dort:
Windows Server-Maschinen können über einen grafischen Assistenten, der in Windows Server enthalten ist, direkt in Azure Arc eingebunden werden. Der Assistent automatisiert den Onboarding-Prozess, indem er die notwendigen Voraussetzungen für ein erfolgreiches Azure Arc-Onboarding überprüft und die neueste Version des Azure Connected Machine (AzCM)-Agenten abruft und installiert. Nach Abschluss des Assistenten werden Sie zu Ihrer Window Server-Maschine im Azure-Portal weitergeleitet, wo sie wie jede andere Azure Arc-aktivierte Ressource angezeigt und verwaltet werden kann.
Mit dem Sicherheitsupdate KB5031364 klatscht Microsoft also die Anbindung der Server an Azure Arc auf die Server-Plattform, egal, ob das benötigt wird, oder nicht. Man kann es als „die nächste Bloatware, die aufs System gekippt wurde“ umschreiben. Microsoft mein, die erste Änderung, die Administratoren bemerken würden, sei ein neues Symbol in der Taskleiste. Dieses soll den Einstieg in Azure Arc erleichtern, wenn dieses noch nicht verwendet wird.
Wer sich für die Einrichtung von Azure Arc entscheide, können jetzt der gesamte Prozess – das Herunterladen, Installieren und Konfigurieren des Azure Connected Machine-Agenten – mithilfe grafischer Assistenten auf dem Server vornehmen. Administratoren müssen nicht mehr zum Azure-Portal gehen, ein Skript erstellen und es in PowerShell ausführen. Wenn Azure Arc auf dem Server installiert ist, zeigen sowohl das Symbol in der Taskleiste als auch der Server Manager den Status der Verbindung zu Azure an und ermöglichen Administratoren die Durchführung gängiger Agentenverwaltungsaufgaben.
Microsoft ist überzeugt von sich
Microsoft zeigt sich davon überzeugt, dass „diese Erfahrungen“ Admins helfen werden, indem sie eine „bequeme, interaktive Reihe von Erfahrungen für die Verwendung von Azure Arc mit Windows Servern bieten, die die Desktop Experience beinhalten“. Weitere Informationen finden sich im Microsoft-Beitrag unter Verbinden von Windows Server-Computern mit Azure über das Azure Arc-Setup.
Die Microsoft-Überzeugungen decken sich, meinen Beobachtungen nach, irgendwie nicht wirklich mit der Praxis. Doof ist z.B. für Administratoren, die überhaupt nichts mit der Azure-Cloud auf ihren Windows Server 2023-Installationen am Hut haben, dass da einfach mal so eine Funktion, die man nicht braucht, auf den Server gemangelt, installiert und eingerichtet wird. Die Kritik kristallisiert sich in zahlreichen „Stimmen“ hier im Blog und im Internet heraus.
Die Admins sind schlicht sauer
Hat irgendwie etwas von „gut gemeint ist nicht gut gemacht“, denn kurz nach Freigabe der Updates meldeten sich bereits erste Leser in Kommentaren hier im Blog, weil sie sich über die Zugaben des Update-Pakets in Form des Azure Arc-Setup geärgert haben. PeDe schreibt in diesem Kommentar:
Hi,
bei Server 2022 schmuggelt Microsoft den „Azure Arc-Setup“ in den Systray. Um dies zu Entfernen muss man das Feature „Azure Arc-Setup“ deinstallieren was einen Reboot erforderlich macht!
Nach Windows Backup App der nächste Geniestreich.
Zur „Backup-App“ hatte ich was im Beitrag Windows 10-Update KB5030211 bringt Backup-App auf LTSC-Versionen und frustet LTSC-Nutzer geschrieben. In einem weiteren Kommentar fragt Steve, ob es sein könne, dass auf Windows Server 2022 mit den Oktober 2023 Updates das Feature „Azure Arc Setup“ mit komme? Und im Beitrag Patchday: Windows 11/Server 2022-Updates (10. Oktober 2023) bringt ein anonymer Nutzer es mit folgenden Worten in einem Kommentar auf den Punkt.
Update über Standard Windows Update auf Windows Server 2022 installiert und aktiviert (Icon im Autostart) ungefragt ein neues Feature: Azure Arc Setup.
Für die Deinstallation braucht es dann noch eine zweite „Ehrenrunde“ (Reboot) oder pappt vor dem Reboot „Remove-WindowsFeature AzureArcSetup“ nach
Vielen Dank, MS…
Breite Kritik an Microsofts Vorgehen
Michael Niehaus hat in seinem Blog den Sachverhalt aufbereitet und den nachfolgenden Screenshot der Statusleiste (Tray) mit dem neuen Eintrag (linkes unteres Icon im Popup) für Azure Arc gepostet.
Taskleiste mit Azure Arc-Symbol im Popup
Niehaus kritisiert, dass es sehr fragwürdig sei, eine Funktion auf Windows Server 2022 als Teil eines Patch Tuesday-Updates auszurollen und dann zu allem Überfluss auch noch ein Symbol für den Infobereich der Taskleiste hinzu zu fügen, um die Funktion zu starten. Mit anderen Worten: Redmond hat den Fokus verloren, was Administratoren wollen und was geht.
George Markou hat das auf X in obigem Tweet samt Screenshot auch nochmals hervorgehoben und ätzt: „Aufregende Neuigkeiten! Das neueste Windows-Update stellt die In-Box Azure Arc Experiences für Windows Server 2022 vor!“. In diesem Blog-Beitrag hebt ebenfalls ein Administrator auf die neue Schnapsidee aus Redmond ab. Dort heißt es:
Das (Sicherheits-)Update vom Oktober 2023 für Windows Server 2022 (KB5031364) fügt eine neue optionale Komponente in die Liste der Windows-Funktionen ein: „Azure Arc Setup“. Sie wird nicht nur hinzugefügt, sondern auch vorinstalliert, aktiviert, aktualisiert und dann automatisch in einem Systray-Symbol für Sie gestartet, sowie oben im Startmenü eingetragen.
Zu allem Überfluss erhalten Sie dann auch noch eine sehr hilfreiche Benachrichtigung von Windows, die Sie darüber informiert, dass AzureArcSysTRay.exe jetzt so konfiguriert ist, dass es bei der Anmeldung ausgeführt wird.
Auf reddit.com geht hier die Kritik an Microsofts Schlenker ab – und in diesem Post entschuldigt sich ein Microsoft-Mitarbeiter, dass es „nicht die beste Idee gewesen sei, dieses Feature ohne Ankündigung per Update auszurollen“. Die Antworten auf diesen Post sind erhellend – nicht nur die fehlende Ankündigung stoßen negativ auf, sondern der Umstand, dass das per (Sicherheits-)Update auf die Systeme kommt und sich dann auch noch als Icon in der Statusleiste einnistet. Es geht der Begriff Bloatware in Administratorenkreisen um.
Ergänzung: Auf Facebook hinterließ mir ein Administrator in einer Server-Gruppe den Kommentar zum Blog-Beitrag., dass er glaubt, dass dieser „Move von Microsoft“ nicht nicht nur den Administratoren unangenehm aufstößt, die das Feature nicht auf ihren Servern nutzen/brauchen, sondern auch vielen die es einsetzen. Er schrieb mir, dass er lieber ein Script verwendet, um das automatisch während der geplanten Wartungsarbeiten einzurichten. Das Klicki-Klick-Server Zeugs für Server würde kein Profi einsetzen (da lässt sich wenig automatisieren). Zudem merkt der Leser an, dass man wohl mindesten ein oder zwei Neustarts braucht, um den Erguss loszuwerden.
Ist mal wieder eine Punktlandung in Sachen Administratoren-Zufriedenheit geworden, was Redmond am Patchday veranstaltet hat. Mich beschleicht das Gefühl, dass Microsoft mit seiner „Desktop Experience“-Erwartung als Geisterfahrer irgendwo im Universum unterwegs ist, und dabei die Bodenhaftung verloren hat. Das Feature hätte man ja problemlos als optionales Paket zum Hinzufügen im Server-Manager anbieten können, so dass Administratoren, die glauben, das zu benötigen, manuell als Feature / Rolle hinzufügen könnten.
Azure Arc-Setup blocken oder deinstallieren
Blog-Leser PeWe hat sich in diesem Kommentar zu Wort gemeldet und schrieb, dass sich das optionale Azure Arc-Feature zur Ausführungen per Registrierungseingriff im Schlüssel DisallowRun unterdrücken lässt. Er hat dort die betreffenden Registrierungseinträge angegeben, um den Start des Setup zu blockieren.
Ex Microsoft Mitarbeiter Michael Niehaus beschreibt in diesem Blog-Beitrag das Azure Arc Setup und wie man dieses optionale Feature wieder über den Server Manager los wird (erfordert einen Neustart) – der Verweis auf seinen Beitrag ging bereits vorige Woche auf der patchmanagement.org Mailing-Liste herum – ich hatte das Ganze aber auch auf Twitter gesehen (konnte bzw. wollte urlaubsbedingt aber nicht sofort reagieren).
Remove Azure Arc Setup in Server Manager; Source: Michael Niehaus
Alternativ lässt sich, laut Michael Niehaus auch folgender PowerShell-Befehl zum Deinstallieren verwenden:
Remove-WindowsFeature AzureArcSetup
In diesem Beitrag Microsofts wird nicht nur das Azure Arc Setup beschrieben, sondern es wird auch angegeben, wie sich das optionale Feature wieder entfernen lässt. Microsoft gibt folgenden PowerShell-Befehl zur Deinstallation an:
Disable-WindowsOptionalFeature -Online -FeatureName AzureArcSetup
Die Deinstallation erfordert aber aber mindestens einen Neustart des Servers, um den Vorgang abzuschließen.
In diesem reddit.com-Kommentar gibt jemand einen Verweis auf eine pastebin-Konfiguration an, um die optionale Komponente per GPO zu entfernen (hab mir die Details aber nicht angesehen). Und in diesem Artikel beschreibt jemand, wie das Tray-Icon entfernt werden könne – der Auto-Run-Eintrag wird in der Registry entfernt.
Ähnliche Artikel:
Microsoft Security Update Summary (10. Oktober 2023)
Patchday: Windows 11/Server 2022-Updates (10. Oktober 2023)
Windows 10-Update KB5030211 bringt Backup-App auf LTSC-Versionen und frustet LTSC-Nutzer
„nicht die beste Idee gewesen sei“ ist ja schon der running Gag bei Software aus Redmond. Wann hatten die das letzte mal eine gute Idee?
Eine Frage in die Runde: Kann es sein, dass das Azure Arc Feature nur im Update für Windows Server 2022 Version 22H2 drin ist?
Wir haben nur Windows Server 2022 Version 21H2 (Deutsch) und dort hat der Patch nirgends ein Azure Arc installiert.
es gibt doch offiziell keinen 2022 22h2… irgendwie nur in der Cloud.. Gab hier auch mal einen Blog Beitrag zu dieser Verwirrung
Hier ist es auch auf allen 21H2 Servern gelandet…
Danke für den Beitrag. Ich finde das ist ein Unding!
Besonders da es auch in Terminalserver Sessions von Standard-Usern geladen wird, nicht nur beim Administrator..
„Disable-WindowsOptionalFeature -Online -FeatureName AzureArcSetup -NoRestart“
als Script über’s Softwaremanagement einmalig verteilt funktioniert bei uns ganz gut. Der Neustart kommt dann eben erst mit dem nächsten Weekly-Reboot, aber man ist’s im Tray bereits los.
Das ist wohl der technische Fortschritt.
Wir hatten Mal so in den 1980ern eine alte Unix Märe die bekam jede Nacht einen Reboot um alle Leichen zu beseitigen.
Und bei Windows muss man nur noch einmal pro Woche rebooten?
Echt?
Boa, das nenne ich Fortschritt
uptime 678 days
SCNR
und natürlich ist das ein Sicherheitsupdate!
Software wird immer sicherer je mehr Schichten man hat und in der Cloud wird es besonders sicher, mindestens 134,67%
Wir haben die 21H2 (deutsch) auch im Einsatz und das Feature war installiert nach den Updates.
Danke Herr Born und machen Sie bitte mindestens bis im August 2024 weiter mit ihrem Blog. Dann werde ich mich pensionieren und mich nicht mehr um den M$ Schrott kümmern müssen…
„Mit anderen Worten: Redmond hat den Fokus verloren, was Administratoren wollen und was geht.“ …
MS weiß, was Admins wünschen, nur die Admins wissen es halt (noch) nicht … (Sarkasm off) 😜🤣
Bloß gut, das ich NICHT mehr MS Server und Exchange Server administrieren muss …
Mit Windows Server 2022 21H2 kam das Azure Arc Setup im Systray bei uns auch mit.
Wir haben eine GPP in einer GPO die dieses Azure Arc Setup aus der Taskleiste entfernt (reicht uns soweit):
Löscht den Wert AzureArcSysTray.exe aus dem Registrierungsschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Den entsprechenden Artikel hat Günter oben in seinem Blogeintrag im letzten Absatz als Link angegeben.
Bei solchen „Beglückungen“ seitens MS werden jetzt sicher einige Admin schon mal prüfen welche Distribution für ihre Bedürfnisse ideal ist. Und ja an die MS-Fanboys ich meine Linux und das ist durchaus eine Alternative in vielen Fällen.
Auf Servern? Doch schon seit Jahren ne Alternative! Desktop Junge Desktop!
Leider läuft da die Software die man ich brauche nicht oder gibt es erst gar nicht
(auch nicht unter Wine & Co.). Die Linux Jünger kriegen es auch nicht gebacken das sich das mal ändert! Sind sowas wie in der Realen Welt die Zeugen Jehovas ;-P keiner kann sie leiden, trotzdem existieren sie.
Hier gehts um Server 2022 also nicht um Windows 11. Also müssen das wohl doch noch welche einsetzen auf SERVERN.
„Remove-WindowsFeatureAzureArcSetup“
Muss natürlich noch ein Leerzeichen rein.
„Remove-WindowsFeature AzureArcSetup“
Sieht so aus, als hätte Microsoft den Sinn des Wortes „Optional“ voll und ganz verstanden…
Features ungefragt als Sicherheitsupdate auf produktive Server installiert…
Ich empfinde das als Sabotage.
Es dauert Stunden, das sauber wieder raus zu bekommen. Wenn überhaupt.