Update - End juli heeft Microsoft een patch uitgebracht om de beveiliging in het authenticatie-proces te verbeteren. Deze patch was gedeeltelijk al opgenomen in Samba, dat is de module die we gebruiken om te kunnen communiceren met Windows-systemen, maar in de praktijk bleek dat Microsoft meer had aangepast dan gecommuniceerd.
Gevolg was dat na het installeren van deze patch van Microsoft je niet meer kon inloggen middels RDP. Direct inloggen op het systeem was nog wel mogelijk.
Een paar dagen later was er een nieuwe versie van Samba beschikbaar, die wel samenwerkt met de Microsoft patch. Helaas werkte met deze Samba versie de koppeling van Nextcloud met shares niet meer, daarvoor moest ook een module in Nextcloud worden aangepast.
Wederom hadden we pech, omdat voor die aanpassingen aan Nextcloud diverse andere softwarebibliotheken ook moesten worden geüpdate.
Op dat moment waren er zo veel wijzigingen tegelijk dat we meer tijd nodig hadden voor het testen van de oplossing. Die tijd hebben we gemaakt door de uitrol van de Microsoft patch te stoppen. Door de DNS-records voor de Windows-update servers te wijzigen naar de 1A-server kunnen de computers binnen het netwerk de updates niet meer downloaden en installeren.
Gelukkig hadden we al voorbereidingen getroffen om Docker op de 1A-server beschikbaar te maken en was de oplossing om ook Nextcloud in Docker te gaan draaien, zodat we onafhankelijk zijn van de software-bibliotheken van de 1A-server. Ook het updaten van programma's die in Docker draaien zijn daarom een stuk eenvoudiger.
Alle updates en patches zijn nu gemaakt en getest op de acceptatie-servers, maar omdat er best veel wordt aangepast zijn we voorzichtig met uitrollen. In de praktijk zien we dat er soms nog handmatige acties nodig zijn.
Komende maand willen we deze patch overal beschikbaar hebben en zullen we de blokkering voor Microsoft updates verwijden.
Sep 18, 2023 - 11:03 CEST
Update - Bij de uitgebreide beoordeling bleken nog wat extra wijzigingen nodig.
De benodigde updates worden nu uitgerold op een geselecteerd aantal omgevingen.
Wanneer dat correct verloopt zal deze oplossing vanaf half september op alle systemen uitgerold gaan worden.
Aug 22, 2023 - 17:16 CEST
Update - Een permanente oplossing komt in zicht. We zullen deze uitgebreid beoordelen voordat die op klant-systemen wordt doorgevoerd.
Jul 18, 2023 - 19:02 CEST
Update - Microsoft heeft in de cumulatieve update van 11-juli de beveiliging voor het SMB-protocol aangescherpt.
Een optie die eerder inactief was en optioneel geactiveerd kon worden is nu verplicht gemaakt en geactiveerd.
Dit levert problemen op met RDP-authenticatie zoals die in de Cloud-Werkplek ingericht is.
We verwachten niet dat Microsoft een aangepaste versie van deze update zal uitbrengen.
Terwijl we werken aan een permanente oplossing, zijn Windows-updates tijdelijk geblokkeerd.
Jul 17, 2023 - 18:41 CEST
Update - Op de Cloud-Werkplek omgevingen waarvan bij ons gemeld is dat het probleem speelde, zijn de updates teruggedraaid.
Jul 13, 2023 - 11:52 CEST
Identified - We hebben van partners signalen ontvangen dat op meerdere Cloud-Werkplek omgevingen niet ingelogd kan worden.
De gebruiker krijgt melding "Er is een probleem opgetreden tijdens het maken van een verbinding met de externe bron."
Dit wordt veroorzaakt door de onderstaande Windows Updates die Microsoft sinds deze week uitrolt.
- KB5028171 voor Windows Server 2022
- KB5028168 voor Windows Server 2019
- KB5028169 voor Windows Server 2016
De voorlopige oplossing voor het probleem is het verwijderen van deze update tot er een verbeterde update vanuit Microsoft komt.
Helaas is dit een grote update waardoor het verwijderen ongeveer een uur kost.
De exacte patchnaam voor Windows 2022 is gisteren al gevonden en wordt op door 1A beheerde omgevingen niet meer uitgerold.
Op Windows 2019 is dit nummer anders, waardoor er vanmorgen nog updates zijn uitgevoerd op een aantal W2019 omgevingen.
Jul 13, 2023 - 08:38 CEST