Время на прочтение2 мин
Количество просмотров9.4K
Microsoft выпустила 22 обновления для Windows 8.1 и Server 2012, которые закрывают различные баги в драйверах и системных компонентах ОС. Обновление KB3115224 улучшает стабильность работы виртуальных машин, работающих на Windows Server 2012. В рамках обновления исправлению подлежат файлы EFI-прошивки под названием Winload.efi, Bootmgr.efi, а также ядро Ntoskrnl.exe. Другое обновление KB3134785 исправляет баг утечки памяти в библиотеке удаленного вызова процедур Rpcss.dll на Windows Server 2012 R2 и Windows 8.1.
Обновлению подлежит и Windows Explorer (проводник), обновление KB3136019 исправляет баг в библиотеке Mfmp4srcsnk.dll, которая используется проводником для проигрывания видео-файлов MPEG-4. Для Windows Explorer адресуется и другое обновление с идентификатором KB3138602, которое исправляет баг зависания системы при загрузке ОС, а также баг неправильной работы с контекстным меню файлов.
Обновление KB3141074 (Stop error when a shared VHDX file is accessed in Windows Server 2012 R2-based Hyper-V guest) исправляет баг в драйвере виртуализации Hyper-V под названием vhdmp.sys, который приводил к BSOD с кодом 0x00000001 (APC_INDEX_MISMATCH).
Обновление KB3140250 исправляет баг в драйвере Volsnap.sys, который приводил к некорректной обработке значения реестра MinDiffAreaFileSize на Windows Server 2012.
Обновление KB3140234 исправляет баг в драйвере Rasl2tp.sys, который приводил к BSOD со STOP-кодом 0x0000009F. Синий экран появляется в тот момент, когда пользователь отключает компьютер под управлением Windows 8.1 и Server 2012 с активным VPN-подключением типа L2TP.
Обновление KB3140219 исправляет баг в драйвере Ipmidrv.sys, который приводил к BSOD с кодом 0x00000133 после установки хот-фикс исправления 3061460 на Windows Server 2012.
Обновление KB3139219 исправляет баг в драйвере Storport.sys, который приводил компьютер к синему экрану смерти со STOP-кодом 0x1E при перезагрузке или выключении компьютера.
Полный список обновлений см. ниже.
KB3100473
KB3105115
KB3109976
KB3115224
KB3133681
KB3133690
KB3134785
KB3137061
KB3137725
KB3137728
KB3138602
KB3139165
KB3139219
KB3139923
KB3140219
KB3140222
KB3140234
KB3140250
KB3140786
KB3141074
created May 16, 2017, last updated January 21, 2021.
.
This post was last updated 6 years 10 months 6 days ago, some of the information contained here may no longer be actual and any referenced software versions may have been updated!
The Windows Server Essentials Connector is software that lets you connect your PC to a Windows Server 2012 R2. Most commonly it is used by small businesses to connect clients to a Windows Server Essentials Server (formerly Windows Small Business Server or SBS) to perform automated client backups on the server.
For many small businesses this is a good way to automate client backups and it works well, at least it did until Windows 10 was released and the essentials connector software stopped working.
Windows 10 and Windows 10 feature upgrades break the server essentials connector.
Windows 10 and Windows 10 feature upgrades break the server essentials connector
At the time of writing we have been waiting well over a year for an official Essentials Connector release for Windows 10. For reasons best known to Microsoft they have held back on resolving this issue but there is a workaround that gets the connector working again for all versions of Windows 10 and will get your client backups working again.
- Make sure your server has the July 2016 update rollup for Windows 8.1 and Windows Server 2012 R2 installed.
- Install the Windows10.0-KB2790621 update on the client computer
- If you cannot find this update on Microsoft, it is available here (64 bit version).
- Locate the connector software, you can download it from your essentials server by browsing to http://server.name/connect and change the compatibility mode to Windows 8.
- Make sure you also change the compatibility mode for all users
Essentials Connector Compatibility
- Run the connector software and install.
The connector will now install as usual and on completion the client will appear online again in the server devices dashboard and backups will work again. Note, at the time of writing all subsequent Windows 10 feature upgrades, i.e. 1607, 1703, 1709 will break the connector again and you will need to follow the steps above to patch and reinstall the connector software.
- Update NOV 2017
- Tested and working with Windows 1709 Update.
- Update MAY 2018
- Tested and working with the Windows 1803 Update.
- Broken again with the 2020 updates
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Server\ClientDeployment]
"SkipDomainJoin"=dword:00000001
При обновлении сервера один из апдейтов не смог установиться и сервер начал делать откат обновлений. Спустя какое-то время сервер перезагрузился, появилось черное окно с надписью «Обновление вашей системы» без какого-либо прогресса:
Очевидно, что это не дело и проблему нужно начинать решать самому. По скриншоту можно заметить, что это виртуальная машина на Hyper-V, исходя из этого мы можем сделать следующее:
1. Выключить виртуальную машину. В большинстве случаем безусловно нужно выключать через кнопку Завершение работы..., но в данном случае она не поможет и придется воспользоваться кнопкой Выключить...
2. Изменить настройки автозапуска (выставить задержку в несколько 5 секунд). Это надо понадобится, чтобы успеть зайти в safe mode
3. Запускаем виртуалку и не забываем кликать на F8. Появится знакомое меню
4. Итак, теперь мы можем попасть в командную строку. Кликаем на пункт Troubleshoot и затем на Command Line
5. Теперь запускаем команду, чтобы получить список доступных дисков:
wmic logicaldisk get name
6. Теперь нам нужно определить какой из этих дисков является диском C, т.к в режиме safe буква диска может отличаться от той, что мы видим в системе. Проще всего опознать нужную нам букву — это найти директорию Windows, используя команду dir
7. Итак, вы знаете букву нужного нам диска, я буду указывать букву C, вы же замените на ту, что у вас. Переходим в директорию C:\Windows\Winsxs:
cd C:\Windows\Winsxs
8. Теперь нам нужно вывести список всех файлов, начинающихся с Pending
dir pending*
9. Переименуем все эти файлы, добавив в конец их имени _old. Команда выглядит так:
ren Pending.xml Pending_old.xml
10. Создадим новый, пустой файл Pending.xml
echo > pending.xml
11. Перейдём на ветку наверх и создадим новую директорию:
cd..
mkdir scratch
12. Удалим\отменим все висящие действия из поврежденного образа с помощью DISM:
DISM /Image:C:\ /Cleanup-Image /RevertPendingActions /scratchdir:C:\Windows\Scratch
13. Переименуем папку SoftwareDistribution в SoftwareDistributionOld
ren C:\Windows\SoftwareDistribution C:\Windows\SoftwareDistributionOLD
14. Запустим проверку:
sfc /scannow
15. По завершении проверки перезагрузим виртуалку, это может занять немного больше времени, чем обычно. Но в итоге мы должны увидеть такую картину:
Когда процесс завершится, сервер должен вернуться в нормальное состояние!
Gargh! Why is nothing perfect?!
Right, now that that’s done, I’ve just had an issue with a Windows Server 2012 R2 server which was stuck in constant reboot cycling. An update was installing and then immediately failing with a happy-go-lucky-message that read “We couldn’t complete the updates. Undoing changes. Don’t turn off the server”. It may as well have read “Go boil your head!” for all the good that it did me.
A wonderous message to behold when you reboot your server
Now’s a good time to bemoan the lack of decent offline patch handling in Windows. Within a running live Windows instance the update handling is pretty good and, clearly, you have access to a tonne of tools to help you. However when Windows is offline there’s nothing, bugger all. As my Nan would have said “You’ll be up the creek and told to f*** off!”. What Windows needs is an F8 option to show pending updates, and allow you to easily disable them, remove them, whatever.
Anyway, after desperately trying to tell VMware to slow down enough for me to F8 and get Windows in to recovery mode, I finally got rid of the updates and after a few reboots all was good.
- Desperately hit F8 when Windows boots and click Recover Windows. Alternatively you can also boot from the Windows Server 2012 R2 ISO/DVD and choose repair.
- Go in to the Advanced Repair options then choose Command Prompt.
- Enter your recovery password if asked to do so.
- At the command prompt type diskpart to enter the diskpart tool
- Then type list volume to show the current volumes. Note down the drive letter that relates to your servers primary drive. In my case it was D.
- Type exit to exit the diskpart tool.
- Now type the following being sure to change D to the drive letter from the previous step.
move d:\Windows\WinSXS\Pending.xml d:\Windows\WinSXS\Pending.old
- This will remove the xml that details any pending updates.
- Exit the command prompt and reboot your server.
You will find that your server might reboot several times as it tries to recover from this. But bear with it and you should be good to go.
|
Microsoft сообщила, что после установки ноябрьских обновлений для операционной системы Windows Server может наблюдаться утечка памяти в службе LSASS, которая способна привести к зависанию и перезагрузке серверов, выступающих в роли контроллера домена. Исправление пока недоступно, и конкретные сроки его появления Microsoft не называет. Однако администраторы могут прибегнуть к временному решению.
Контроллеры доменов на Windows в опасности
Установка одного из ноябрьских обновлений на контроллеры домена под управлением операционной системы Windows Server может приводить к возникновению утечек памяти, которые, в свою очередь, вызывают замедление работы машины и ее последующую автоматическую перезагрузку.
Сервис (служба) проверки подлинности локальной системы безопасности LSASS после обновления ОС на сервере, играющим роль контроллера домена, может неконтролируемо потреблять оперативную память.
Соответствующий баг описан в перечне известных проблем обновления KB5019966 от 8 ноября 2022 г. Причем объем потребляемой службой памяти прямо пропорционален нагрузке на машину и продолжительности ее работы без перезагрузки. В результате утечки памяти, вызванной ошибками в LSASS, сервер может перестать отвечать на запросы других компьютеров в сети и даже автоматически перезагрузиться.
По информации Microsoft, более поздние внеочередные патчи для Windows Server – от 17 и 18 ноября 2022 г. – могут также быть затронуты проблемой.
Проблеме подвержены операционные системы Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1, Windows Server 2008 SP2. Клиентские версии ОС, такие как Windows 10 или 11, багом не затронуты.
Контроллеры домена и LSASS
Контроллер домена – это сервер, управляющий доступом к сетевым ресурсам в пределах одного домена (сегмента сети).
Сервис проверки подлинности локальной системы безопасности (Local Security Authority Subsystem Service; LSASS) – подсистема ОС Windows, которая отвечает за реализацию политик в области безопасности. Сервис, в частности, контролирует вход пользователей в систему, изменение пользовательских паролей и обеспечивает создание токенов доступа, а также ведение журнала безопасности Windows.
Служба LSASS является критически важной для работоспособности Windows-машины. В случае сбоя этого сервиса пользователь теряет доступ к учетным записям на компьютере, а ОС автоматически перезапускается, предварительно уведомив о возникшей ошибке, отмечает Bleeping Computer.
Временное решение
Microsoft работает над устранением проблемы и обещает исправить ее в одном из следующих релизов. Конкретную дату «Редмондский гигант» не уточняет.
Администраторам предложено временное решение, которое предполагает установку значения параметра “KrbtgtFullPacSignature” ключа “HKLM\System\CurrentControlSet\services\KDC” системного реестра Windows в 0. Этот параметр имеет отношение к работе механизма аутентификации с использованием сетевого протокола Kerberos.
Святослав Кульгавый, «Колан»: Псевдороссийские технологии растут как грибы после дождя
Импортонезависимость
После выхода ноябрьских патчей пользователи Windows пожаловались на некорректную работу Kerberos в ряде сценариев. Примечательно, что апдейты, в частности, предназначались для закрытия уязвимостей в Kerberos.
«После установки обновлений, выпущенных 8 ноября 2022 г. или позже, на серверах Windows с ролью контроллера домена у вас могут возникать проблемы с аутентифкацией Kerberos, – пояснили тогда в Microsoft. – При возникновении проблемы, вы можете получить ошибку Microsoft-Windows-Kerberos-Key-Distribution-Center с идентификатором Event ID 14 в разделе System журнала событий на вашем контроллере домена».
18 ноября 2022 г. Microsoft выпустила внеочередное обновление, которые, как ожидалось, устранит неполадки в работе Kerberos.
Опасные баги Windows Server
В июле 2020 г. стало известно о том, что в Windows Server с самого момента ее появления в 2003 г. «жила» опасная уязвимость. Она давала возможность злоумышленнику полностью захватить уязвимый сервер под управлением этой ОС. Уязвимость получила название SigRed.
в январе 2020 г. CNews писал об обнаружении опасной «дыры», затронувшей все без исключения версии Windows, выпущенные за последние 24 года. Впервые она появилась еще в Windows NT 4.0, увидевшей свет в 1996 г. Уязвимость касалась динамической библиотеки crypt32.dll, ответственной за сертификаты и функции обмена зашифрованными сообщениями в CryptoAPI.
- Подобрать оптимальный тариф на облачное резервное копирование BaaS на ИТ-маркетплейсе Market.CNews