[English]Die Sicherheits-Updates KB4088875 und KB4088878 vom 13. März 2018 verursachen Netzwerkprobleme mit virtuellen Netzwerkadaptern. Diese verlieren ihre statische IP-Adresse und werden auf DHCP-Adresszuteilung umgestellt. Ergänzung: Auch beim Update Update KB4089229 für Windows Server 2008 scheint es die physikalischen Netzwerkadapter zu treffen.
Anzeige
Das (Monthly Quality Rollup) Update KB4088875 und das Security Only Update KB4088878 wurden am 13. März 2018 für Windows 7 SP 1 und Windows Server 2008 R2 freigegeben. Ich hatte im Blog-Beitrag Sicherheits-Updates für Windows 7/8.1 (13. März 2018) berichtet.
Ich hatte in diesem Beitrag bereits auf Blue Screens und ein mögliches Speicherleck für SMB-Server hingewiesen und von der Installation der Updates gewarnt. Kurz nach Veröffentlichung des Beitrags gab es erste Rückmeldungen, dass die Updates massive Probleme bereiten.
Fehlerbild: Netzwerkadapter verschwinden
In einem ersten Kommentar meldet Blog-Leser Markus, dass die Installation der Updates unter Windows Server 2008 R2 eine fest vorgegebene feste IP-Adresse verloren geht. bei ihm wurden drei Maschinen auf einen IP-Adressbezug per DHCP-Server mugestellt. Markus schreibt, dass in der Registrierung unter:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces
Anzeige
ein neues Interface erstellt wurde. Gleichzeitig wurde der Kommentar hier im Blog abgesetzt.
KB4088875 oder KB4088878 sorgt auf unseren VMware-VMs (Windows Server 2008 R2) dafür, dass die statisch zugeordnete IP-Adresse auf DHCP wechselt… Server 2012 R2 scheint nicht betroffen zu sein.
Bei reddit.com gibt es inzwischen diesen Thread, der berichtet, dass die Updates die virtuellen VMware VMXNET3-Adapters für das Netzwerk ersetzt. Und hier gibt es einen reddit.com-Megathread, der sich ebenfalls mit den von statischen IP-Adressen auf dynamisch zugeordneten IP-Adressen per DHCP-Server beschäftigt. Dieser Tweet beschreibt das Problem ebenfalls.
It seems that the latest MS patches ate my vmxnet3 adapters on Windows 2008R2 :(. Any one else?#WindowsUpdates #Windows2008R2 #VMware pic.twitter.com/fsOwTo2VVx
— Wouter Hindriks (@Sikorsky78) 14. März 2018
Ergänzung: Auch beim Update Update KB4089229 für Windows Server 2008 scheint es die physikalischen Netzwerkadapter zu treffen. In diesem Forenbeitrag beschreibt ein Nutzer diese Erfahrung.
Ein Workaround mit 50% Trefferquote
Auf Reddit schlägt jemand in diesem Thread vor, im Geräte-Manager die Anzeige versteckter Geräte einzublenden. Geht in der Eingabeaufforderung mit:
set devmgr_show_nonpresent_devices=1
start devmgmt.msc
Dann im Geräte-Manager die Anzeige versteckter Geräte aktivieren. Im Anschluss die grau abgeblendeten NICs zu löschen. Soll in 50% der Fälle wohl helfen und die Netzwerkadapter kommen wieder.
Alter Microsoft KB-Beitrag 3125574
Microsoft hatte im Dezember 2017 bereits massive Probleme mit dem Convenience Rollup Update KB3125574 und hat diesen KB-Artikel veröffentlicht.
Den Begriff Convenience Rollup Update muss man sich auf der Zunge zergehen lassen. Den Ärger, den diese Updates verursachen, hat nun überhaupt nichts mit 'Bequemlichkeit' (Convenience) zu tun.
Microsoft gibt als Problem bei diesem Update an, dass bei der Update-Installation der virtuelle Netzwerkadapter (vNIC) mit den Default-Einstellungen anstatt der vorherigen Einstellungen angelegt wird:
A new Ethernet virtual Network Interface Card (vNIC) may be created with default settings in place of the previously existing vNIC, causing network issues. Any custom settings on the previous vNIC are still persisted in the registry but unused.
Damit kommt genau das oben beschriebene Szenario zum Tragen, dass die statische IP-Adresszuordnung verloren geht und die Karte ihre IP-Adressen von einem DHCP-Server beziehen muss.
Microsoft hat auf der betreffenden Webseite ein VBScript-Programm im Quellcode eingestellt, welches alle betroffenen vNIC-Adapter in der Registrierung löscht. Daher gibt es den Ratschlag, vorher den Inhalt des Schlüssels:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\PCI
zu sichern.
Ähnliche Artikel:
Adobe Flash Player Update auf Version 29.0.0.113
Windows 7/8.1: Update KB2952664 / KB2976978 wieder im Anflug
Windows 10 V1703: Update KB4092077 und Feature-Updates
Windows 10: Update KB4023057 erneut freigegeben
Microsoft Patchday Summary 13. März 2018
Sicherheits-Updates für Windows 7/8.1 (13. März 2018)
Patchday: Windows 10-Updates 13. März 2018
Anzeige
Zitat: "Den Begriff Convenience Rollup Update muss man sich auf der Zunge zergehen lassen. Den Ärger, den diese Updates verursachen, hat nun überhaupt nichts mit 'Bequemlichkeit' (Convenience) zu tun. "
Weshalb haben viele Leute immer Probleme damit, solche Bezeichnungen richtig einzuordnen. Natürlich ist das für Microsoft sehr bequem… ;-)
Immer daran denken, die Summe der Menschen in einem Unternehmen handelt auch nicht viel anders als ein einzelnes Individuum und die durchschnittlichen Eigenschaften eines Individuums dürften wohl auch bekannt sein. Minimalismus ist ein wesentliches Merkmal des Handlungsschemas in einem IT-Softwareunternehmen.
Und was macht man nun, wenn man gar nicht mehr ins System kommt, weil BSOD oder Auto-Reboot? Ein "Convenience"-Script nützt da ja nix.
Systemwiederherstellung unter Windows PE wäre eine Option.
Mein Workaround unter W7/32bit bei Reboot nach Login (da Systemwiederherstellung nicht möglich und Deinstallation KB4088875 nichts bewirkt), ist es:
-> Netzwerkstecker entfernen, Rechner starten und einloggen
-> Netzwerk- und Freigabecenter -> in Netzwerkadapter IPv4 das Standardgateway auf "irgendwas" außer dem vorigen Gateway ändern -> ok
-> Netzwerkstecker wieder rein und bei der Abfrage nach dem "Ort des Netzwerks" auf Abbrechen(!!!) klicken!
-> dann auf die "gelbe Bank" klicken um "Netzwerkeigenschaften" zu erhalten -> unten auf "Netzwerkadressen zusammenführen oder löschen" klicken -> alle momentan nicht benutzen Netzwerke (bzw. auch nur das "normalerweise benutzte" Netzwerk) löschen
-> wieder in Netzwerkadapter IPv4 das Standardgateway auf das richtige Gateway ändern -> ok
… und bei der Abfrage nach dem "Ort des Netzwerks" auf Abbrechen (!!!) klicken!
Dann hat man zwar ein "öffentliches Netzwerk" bzw. dieses wurde einmal automatisch zugewiesen, aber zumindest kann man damit weiterarbeiten bis das KB4088875 durch Microsoft ersetzt wurde. -hope it helps-
Danke, funktioniert!
Nachtrag: Ich habe eben den Übeltäter bei mir gefunden. War ein HASP-USB-Dongle Treiber für eine alte Barcodedrucker-Software von 2014. Nach der Deinstallation + Neustart, kann man das Netzwerk mit der Freigabegeschichte wieder ganz normal in Betrieb nehmen.
Im abgesicherten Modus starten und dann die Systemwiederherstellung nutzen.
Kann bestätigen, das es uns auch viele W2008R2'ler zerlegt hat. :-(
Stellt sich die Frage Updates wir raus oder bestehende Adapter neu einkonfigurien und Registry bereinigen…..
> Kann bestätigen, das es uns auch viele W2008R2'ler zerlegt hat. ?
öhm, wer nach den durchaus schmerzlichen Erfahrungen seit der Umstellung auf die "kumulativen Updates" am Patch-Day immer noch Updates direkt und ohne vorgängige Tests (Backups!) auf seine produktiven Server installiert, hat imho noch nicht begriffen, dass Microsoft die Zukunft in der himmelblauen Wolke sieht und die dezentralen (legacy) Betriebssysteme aus ihrer Sicht eh zum Alteisen gehören. Dementsprechend hoch ist auch die "Motivation" der Microsoft-Mitarbeiter, seriöse Tests der monatlichen Updates für alle denkbaren HW/SW Kombinationen von 10 Jahre alten System durchzuführen.
Und in der himmelblauen Wolke laufen andere Betriebssysteme?
updates aus! wer diese lektion noch nicht begriffen hat, der wird sie noch begreifen!!!
wirklich schwer zu fassen, diese qualitativ hochwertig abgeschaltete kompatibilität, selbst aktuellste, reibungslos laufende maschinen bekommen zuverlässig bluescreens "silenthammerinstall"iert.
da ist noch viel potential bei der angelaufenen "long term remediation". auch ich hatte den dreck drauf, memorydumps vom "trusted installer" und "ti-worker" erstellt, prozesse gekillt und maßnahmen getroffen.
der zug ist abgefahren!
PS: mit den win7 updates hab ich wegen der warnung hier gewartet, besser gleich löschen die pakete, bevor die ein feindseliges eigenleben bekommen
> updates aus! wer diese lektion noch nicht begriffen hat, der wird sie noch begreifen!!!
Ist etwa ebenso sinnvoll wie "Menschen, zurück auf die Bäume! "the floor is lava!!!"
(der Tag nach dem "patch tuesday" heisst nicht umsonst "exploit wednesday" – wenn die Patches und damit die Schwachstellen erstmal öffentlich sind, ist auch den dümmsten Hackern klar, wo die Hebel anzusetzen sind)
Ja, denn es ist wesentlich besser ein sicheres System zu haben, als eines das richtig und stabil läuft. ;)
Und das in der Vielfalt der PC Windows und Software Welt, mit etlichen Konfiguration. Da kann man nicht alles über einen Kamm scheren.
"Wer die Freiheit zugunsten der Sicherheit aufgibt, wird am Ende beides verlieren."
Und diese Sicherheitsparanoia wird ja pausenlos medial in alle Hirne eingetrichtert.
Was nützt mir das sicherste System, wenn es gar nicht mehr läuft? Hat das noch was mit anständiger Zuverlässigkeit ohne Zwang zu tun?
Selbst das absolut aktuellste System ist unsicher, so schnell kann man keine Lücken patches. Und meist dauert es Wochen und Monate, bis Patches verfügbar sind.
Vor allem ist es völlig wurscht wie aktuell , wenn der User alles bestätigt und öffnet, was ihm in die Finger kommt.
Mir ist ein funktionierendes System lieber, das ich kontrollieren kann, und mir nicht mit Problem-Zwangsupdates alles zerschiesst. Ich brauche das System zum arbeiten, wann ich will, und nicht wann das System meint: jetzt darfst du.
Der Mensch ordnet sich unter, im scheinbaren Deckmantel einer Sicherheit, die es in der komplexer werdenden Welt gar nicht mehr gibt.
Ich finde die Entwicklung beunruhigend. Leider hört man solche mahnenden Worte nur noch von älteren "Semestern", die jüngeren werden es gar nicht mehr anders kennen.
Aber natürlich.
Ich weiß nicht, ab wann dieses Missverständnis zustande gekommen ist, aber Freiheit bedeutet nicht Regellosigkeit oder, dass Jeder alles tun darf, was er gerade will.
Sichere Systeme und funktionierende Systeme sollte man nicht gegeneinander ausspielen in bester Manier eines Verschwörungstheoretikers.
Vor allem mit den Versuchen von Argumenten wie "egal wie aktuell, es gibt immer Lücken" kommt man nicht weit, außer man will rechtfertigen, dass Updates allgemein unsinnig seien; es fehlt nur noch das Möchtegern-Argument, dass Virenschutz völlig sinnfrei sei.
Jeder darf sein System nutzen, wo und wann er will, wenn er es vom Netz nimmt und nicht eine Gefahr darstellt für Andere. Und jetzt nicht ankommen mit Gefasel vom Fehlen der Perfektion bei den Updates, denn das ist alt, das ist schon in der Natur so, das kann der Mensch bloß nicht besser. Leider gibt es heute viel öfter Updates, da fallen die Fehler umso deutlicher auf.
Sicherheit ist ja richtig, und Updates auch. Aber nicht um jeden Preis. Wenn das System nachher nicht mehr läuft, weil Zwangsupdates dieses lahm gelegt haben, und man diese immer und immer wieder installiert bekommt (weil der Anbieter einem keine Wahl lässt), ist das Update System ganz sicher anzuweifeln. Oder soll ich dann einfach mit einem nicht (richtig) funktionierenden System arbeiten können, und hoffen, das in 4 Wochen eine Re-Patch dafür released wird ?! Sorry, aber ich glaube das gehört für mich in die Kategorie "der Mensch ordnet sich unter".
Der Mensch muss zwischen Sicherheit und Stabilität entscheiden können und abwägen, und nicht die Maschinen.
Scheinbar haben das alle anderen kapiert, denn nirgendwo bei anderen Betriebssystemen gibt es Zwangsupdates . Man kann es überall ganz offiziell deaktivieren, und erst mal abwarten, ob einem nicht das System unter dem Hintern absäuft.
Nur Microsoft fährt diese angeblich "heilige Kuh".
Und mit Sicherheit hat das absolut gar nichts zu tun. Sonst würde man NUR die Sicherheitspatches zur Pflicht machen, doch inzwischen ist das mit jedem Update so. Selbst manche Kumulativen Updates lassen sich nur noch installieren, wenn "Feature Upgrades" aktiviert wird.
Das Argument Sicherheit ist somit vorgeschoben, und nichts anderes. Jeder hat auf dem gleichen Stand zu sein, komme was da wolle und wieviele Probleme der User selber hat, kümmert da keinen.
Für mich eine verkehrte Welt, und nichts anderes.
"Wer die Freiheit zugunsten der Sicherheit aufgibt, wird am Ende beides verlieren."
Ein starker Satz, der hängt ab sofort in großen Lettern über meinem Bildschirm. ?
Das ist ein Zitat von Benjamin Franklin. Das ist heute noch – vielleicht umso mehr – gültig, wie vor ein paar Jahrhunderten.
Als schlichtes Gemüt hatte ich vor 25 Jahren auf meinem Schreibtisch zwei Sprüche liegen.
Lächle und sei froh …
denn es könnte schlimmer kommen!
Und ich lächelte und war froh …
und es kam schlimmer …
Und dann gab es aus einem Managementkurs das folgende Diagramm (habe es gerade auf meiner Schreibtischunterlage aus einem Einschub herausgezerrt).
Beides hat auch heute noch seine Berechtigung ;-).
Im Rahmen der Diskussion hier: Es geht niemals darum, über Jahre keine Updates zu installieren. Aber es kann keine verkehrte Strategie sein, in kritischen Umgebungen die Installation von Updates zu verzögert und an Testmaschinen zu evaluieren, ob es Probleme gibt. Und Systemabbildsicherung der Maschinen vor dem Update nicht vergessen.
Warum mache ich mir sonst die Mühe, über anstehende Updates und bekannte Probleme zu bloggen? Die März 2018-Updates wird man in kritischen Umgebungen nicht oder erst nach Korrektur installieren können (Stichwort Memory-Leak in SMB/CIF, BlueScreen etc.).
'Die Schwangerschaftsgymnastik einer Fledermaus' wäre sicher auch ein spannendes Thema, würde ich aber eher im 50+ Blog ansiedeln. Und es gibt Tonnen an Material auf meiner Festplatte und im Hinterkopf für Artikel, die in meinen Reiseblog passen und länger vorgesehen habe. Als Therapie gegen Langeweile betreibe ich den IT-Blog also nicht ;-).
danke für die mühen! und etwas spaß soll es auch machen!
natürlich ist es so, ich , wir, die firma, unsere firmenkunden.. brauchen die maschinen zum arbeiten! habe gestern auch zum ersten mal ein gerät (eines arztes) auf 1607.1944 aktualisiert und anschließend (für unbestimmte zeit) gegen windows updates abgehärtet. viele unternehmen nutzen ja auch die home versionen, da muss man sich dann noch etwas mehr einfallen lassen.. die securityonly-updates hab ich gelöscht, das grenzt diesmal an glücksspiel. die zahlreichen durch das remediation update ausgeschalteten win10 maschinen und das stöbern in den logfiles, wurde ja schon erwähnt hier, eine hdd musste ich 12h laufen lassen weil die sicherheitsattribute jeder einzelnen datei beschädigt zurückgelassen wurden -> bluescreen ntfs-error "2018 1.D the shell execution is complete" lautet der letzte hinweis. exekution trifft es wirklich besser als die behauptete verbesserung in vorbereitung auf zukünftige updates. "upgradefunnel".. diese neuen dienste, deren startverhalten man nicht mehr (einfach) beeinflussen kann, die gibt es inzwischen vollzählig auch unter windows 7! nur man sieht sie nicht!
einfach mal den "taskschedulerviewer" von nirsoft (nach so vielen jahren nun wieder mit passwort versehen um überhaupt heruntergeladen werden zu können) unter win7 ausführen -> staunen!
wirklich ganze arbeit, bei der wutlaune in redmond wird wohl kein win7 das supportende überstehen.
@Günter Born
+1
Alles verständliche und richtige Gründe; privat kann man schnell auf den Update-Zug hüpfen, besser mit Sicherung, aber als Firma würde ich auch warten und mehr Kontrolle wollen.
Dennoch eine Sache der Abwägung, ob Lücken gesichert wurden, die eine größere Bedrohung darstellen, oder ob größere Probleme drohen.
Wie sieht denn die Schwangerschaftsgymnastik eigentlich aus bei den Fledermäusen? :D
Ich sehe das auch "privat" oder kleinerer Ebene kritischer mit den Updates. Fast jeder braucht seinen Rechner funktionsfähig, und zwar jeden Tag. Es gibt auch viele Arzt Praxen oder Unabhängige in mittleren Unternehmen, die ohne LTSB Versionen oder einem Admin auskommen müssen, und die haben schlichtweg "Angst" vor jedem Patchday. Insbesondere in Windows 10. Da trudeln kumulative Updates ja inzwischen im 2 Wochen Rythmus an, ohne das man das offiziell abstellen kann.
Muss man sich mal vorstellen, da bricht das Netzwerk zusammen, dank eines neuen Zwangsupdates, oder die Rechner erzeugen einen Bluescreen. Da ist man einfach aufgeschmissen.
Mit Windows 7 und 8.1 kann man das noch vernünftig steuern, aber nicht mit Windows 10…Aber Microsoft kriegt die beiden Vorgänger auch noch schön kaputt gepatcht…Sollen ja alle auf Windows 10 wechseln.
"und an Testmaschinen zu evaluieren, ob es Probleme gibt. "
Ich darf korrigieren? Nicht OB sondern WELCHE Probleme es gibt…
Mittlerweile muss man von solchen Zuständen ja ausgehen, leider.
Es hilft auch nicht blind alles von MS (und andere) zu übernehmen, zwischen drin schadet es wohl nicht ein wenig den Kopf einzuschalten.
Ihre Arbeit und die Qualität der Beiträge, Herr Born, sind nicht selbstverständlich und ich kann mich nur für die Zusammenstellung und "Sezierung" der Informationen auf ihre Richtigkeit in all den Jahren bedanken.
Ich hatte gestern u.a. das Update KB4088875 auch angeboten bekommen
und dank Ihrem Blog, Herr Born, mal etwas gewartet. Habe erst mal die
üblichen Sicherheitssachen von Office etc. noch installiert.
Heute mal noch alle weiteren Statements (Danke an alle, die Beiträge und
Infos an uns "nicht-so-Profis" weitergeben) gelesen und mal neu nach
Updates suchen lassen – et voila – KB4088875 war weg und wurde nicht mehr
angeboten (vorerst). Hier Windows7 / SP1 / 64bit.
Gruss, Christian
Man kann nur hoffen, dass Microsoft seine katastrophale Update-Politik endlich beendet und wieder zur früheren Methodik ohne derlei Unsinn und Datenabgriff (neudeutsch: "Telemetrie") zurückkehrt sodass man nicht mehr gezwungen ist, ständig alle relevanten Rechner händisch upzudaten.
Ich kenne wirklich viele, die ernsthaft einen Wechsel zu Linux erwägen, statt sich diesem Diktat weiter zu unterwerfen. Microsoft braucht endlich wieder einen seriösen Firmenchef, der seriös die Firma führt, sonst geht der Laden den Bach 'runter.
Ich möchte auch noch etwas Konstruktives beitragen:
Das für Windows 7 immer wieder angebotene "Telemetrie" Update KB295664 sorgt auf manchen Systemen ganz schön für Probleme (BSOD beim Reboot oder BSOD nach wenigen Minuten Betrieb)
Anscheinend sind besonders Systeme (Notebooks) mit doppelter Grafik (Intel + AMD/Nvidia) anfällig für diesen Effekt. Ich kann mich deshalb nur ausdrücklich der Empfehlung von Herrn Born anschliessen, dieses Telemetrie-Update immer und immer wieder auszublenden und auf keinen Fall zu installieren, denn es bringt dem Endanwender absolut keinen Nutzen, aber unter Umständen einen ganzen Kratten voll unerwünschter "Seiteneffekte".
P.S. Auch ich bin privat am Wechsel zu Linux, denn nach Windows 7 kommt mir (privat) nichts mehr von Microsoft ins Haus!
Beruflich sieht das etwas anders aus: "Wes Brot ich ess, des Lied ich sing" ;-)
ich garantiere dir: du hast es bereits bekommen, wahrscheinlich mehrmals!
microsoft bedient sich aller nur erdenklichen tricks (für office 2010 click&run muss ein update heruntergeladen werden, dazu werden änderungen an den updateeinstellungen vorgenommen, sie können diese im menü von office SPÄTER ändern) -> und schwupp, hast du es, und bekommst es wie von windows10 gewohnt, nicht angezeigt, an leere oder fast leere updateverläufe (verschleierungstaktik) hat sich der customer ja schnell und gründlich gewöhnt.
du hast es, wir auch. und ich kümmere mich sehr, sehr intensiv um die beiden win7 arbeitsmaschinen!
außerdem tauchen v2 v3 v4 v5 v6 v7 u.s.w. des stets "verbesserten" gleichen updates immer und immer wieder auf. inzwischen instaslliert ms was es für deine maschine für angemessen hält, von dir unbemerkt, und ohne zu fragen.
sie nennen es: teilnahme am programm zur verbesserung der benutzererfahrung. du nimmst teil, wenn du windows benutzt, auch wenn ms immer etwas anderes behauptet. als dank bekommst du zu spüren wie es ist, ein "benutzer" zu sein, und immer mehr davon :-)
Auf meinen 2008R2 Servern, auf denen es nicht installiert war, ist soeben bei einer erneuten Update-Suche das Update KB4088875 VERSCHWUNDEN!
Anzumerken wäre auch, dass es auf zwei 2008R2 Servern, auf denen es eingespielt wurde, die unter einer VMware Workstation 12 Pro Version 12.5.9 laufen, KEINE Probleme mit den Netzwerk-Adaptern haben.
Wenn ich die Thematik richtig verstanden habe, betrifft das Problem mit den Netzwerkadaptern vor allem VMs – falls Sie Ihre Server direkt "auf dem Blech" installiert haben, sind Sie an dem Problem vorbei geschliddert.
ok, habe Ihren Nachtrag mit der VMware WS erst jetzt gesehen – imho Glück gehabt :)
P.S. Das "angekündigte" Problem mit dem potentiellen memory leak der SMB-Server bleibt Ihnen jedoch trotzdem erhalten.
Testweise mal die Updatesuche auf einigen unserer 2008R2 Server durchgeführt … KB4088875 weiterhin vorhanden (sowohl auf Servern in der VM Umgebung als auch physikalische Server)
Hier in einer vm (win7-32) wird KB4088875 bei WU ebenfalls aktuell nicht mehr aufgeführt. Allerdings noch die Vorschau vom 22.02.18 (KB4075211), die vermutlich ja ähnliches enthält? …
Bedeutet abwarten, bis ne gefixte Version erscheint.
Betrifft es tatsächlich nur die VMXNET3 Netzwerkkarten?
Alle unsere VMs haben die "E1000" in vmWare installiert/aktiviert.
Patches wurden noch nicht installiert – nächster "Patchday" bei uns wäre der 21.03.
Das gleiche Spiel gab es mit irgendeinem Update für W28KR2 vor ein paar Jahren schon mal. Eigentlich nichts dramatisches sondern nur lästiges. Den neuen Adapter mit der statischen Adresse neu konfigurieren; den alten über die ausgeblendeten Geräte aus dem Gerätmanager löschen und gut.
Nichts dramatisches und gut? Dann mach das mal auf mehreren 100 Servern. Viel Spaß, vor allem wenn dir die Nutzer im Nacken sitzen. Nein, solche Fehler gehen überhaupt nicht.
Wenn Dir Nutzer im Nacken sitzen, ist bei der Planung was schiefgelaufen. Ansonsten gibt es eine Testumgebung, in der man diese Fehler normalerweise feststellt und für den Patchday wird dieser zusätzliche Punkt mit in die ToDo-Liste aufgenommen.
Wenn Du allerdings blindlings hingehst und die Updates einfach auf 100 Server verteilst, ohne vorher Downtime, Nacharbeiten etc. geplant zu haben …
Fein, deinem Kommentar von 14:25 Uhr stimme ich zu.
Wenn man es aber so machen will, wie du um 09:59 Uhr geschrieben hast, dann schaffst du das nicht am Patchday. Und deshalb sehe das nach wie vor etwas dramatischer.
KB4088875 – Anzeigeprobleme
Habe mit KB408875 wie auch schon mit KB4074598 das Problem, dass nach Installation (WIN7 Pro SP1 / Grafik: Intel HD Graphics 4000 und NVIDIA Quadro K2000M) die Monitoreinträge im Gerätemanager verschwunden sind, NVIDIA Systemsteuerung und der NVIDIA nViewDesktop Manager nicht funktionieren und keine Grafikanzeige auf dem Zweitmonitor mehr möglich ist.
Konnte in beiden Fällen nur durch Systemwiederherstellung auf Zeitpunkt vor der Installation und anschließendem Ausblenden der o.g. Updates die gewohnte 2 Monitor Anzeige zum Laufen bringen.
Ist ein Weg bekannt, wie die Updates installiert werden können, ohne dass die NVIDIA Grafik abschaltet?
Meinen Win7 Client in der VMware Workstation hat es auch zerlegt. Nach dem booten der VM kam die Fehlermeldung "A fault has occured causing a virtual CPU to enter the shutdown state. …" Man kann entweder die VM restarten oder ausschalten und befindet sich damit in einer Endlosschleife.
Durch Ihren wertvollen Blog habe ich dann im abgesicherten Modus KB4088875 deinstalliert und siehe da, alles geht wieder. Super, vielen Dank für die Info! Hätte ich besser gleich vorher drauf hören sollen.
Jetzt habe ich die Update-Funktion in Win7 auf "Nach Updates suchen, aber Zeitpunkt zum Herunterladen und Installieren manuell festlegen" umgestellt und KB4088875 nicht erneut installieren lassen und ausgeblendet.
Was bedeutet es eigentlich, wenn man die "SlotPersistentInfo" Reg-Schlüssel entfernt? Wozu sind die eigentlich gut? Kann ich die pauschal auf jedem Server weglöschen? Ich habe die nämlich z.B. auch auf einem physischen W2012R2-Server gefunden. Auf einem physischen W2008R2-Server hingegen nicht, dafür aber auf allen virtuellen.
Und hier mal noch die Powershell-Alternative zum o.g. VBScript, für die, die ebenfalls das Würgen kriegen, wenn Sie VBScript lesen. :-)
try
{
Get-ChildItem "HKLM://System/CurrentControlSet/Enum/PCI/*/*/Device Parameters/SlotPersistentInfo" | Remove-Item
}
catch
{
Write-Error "One or more SlotPersistentInfo keys still exist under HKLM\System\CurrentControlSet\Enum\PCI\\\Device Parameters. Please delete manually."
}
PS: Hab das Skript natürlich geklaut, und zwar hier: http://virot.eu/convenience-rollup-kb3125574-with-bonus-powershell-w7-w2k8r2/
wunderbar, funktioniert.
Eine Anmerkung: wenn man zuerst in devmgmt.msc die deaktivierte Karte rauswirft und danach dieses Skript anwendet wird die Netzwerkkarte nochmals neu angelegt und die während des devmgmt.msc aktive Karte ist danach deaktiviert. Mitsamt den Einstellungen :-)
Frage zum Patchday:
Habe aufgrund der Horrormeldungen KB4088875 nicht installiert.
Sollte man das jetzt ganz ausblenden oder abwarten ob das Paket ersetzt wird ?
Ich plädiere für abwarten – werde ich auf jeden Fall so halten.
me to (abwarten).
Wobei ich in einer VM mit win7-32 keine Probleme mit KB4088875 erkennen konnte, dort alles ok. Und etliche Meldungen berichten, dass die Probleme wohl in erster Linie wenn, auf 32-Systemen auftreten. x64 anscheinend weniger problematisch. Aber wieso Versuchskaninchen, wenn ja abwarten auch geht?
Vielleicht nicht nur virtuelle Adapter?
Bei einer Kundin war nach dem Update der WLAN-Adapter verschwunden (Sony Notebook) und ließ sich auch nicht mehr installieren.
Wiederhestellungspunkt vor dem Update half, WLAn Adapter wieder da…
habe bei mir auch 3 2008r2 Server mit dem Verhalten. habe die Updates gestoppt vor dem Wartungsfenster. Hat Microsoft irgendwie offiziell schon reagiert?
Hallo zusammen,
hier nochmal eine Info:
https://www.computerworld.com/article/3263645/windows-pcs/microsoft-stops-pushing-buggy-win7-patch-kb-4088875-hopefully-as-a-precursor-to-yanking-it.html
Gruß
Rainer
Danke mal wieder für den Hinweis!
Es rächt sich halt das Hr. Nadella bei MS die Qualitätskontrolle entlassen hat.
Hab vorhin auf den 2x 2008R2 Servern die wir noch haben die Updates erst mal geblockt per WSUS. Alle anderen Server laufen ja auf 2012/R2, da scheinen keine Probleme aufzutreten.
Mal wieder vielen dank an Microsoft für unnötigen Aufwand, aufgrund nicht mehr vorhandener Tests.
Und wie geht es mit dem Update jetzt weiter? Ich muss es ja irgendwann mal installieren, weil selbst das Security-Only Update betroffen ist.
Die Frage habe ich auch. Kann man zumindest jetzt schon das kumulative IE11-Update KB4089187 installieren, oder gibt es auch da Probleme? Bei KB4088878 (reines Sicherheitsupdate ) warte ich noch ab.
Man muss warten, ob Microsoft mit korrigierten Versionen der Updates daher kommt. Vorher riskiert man instabile Systeme. Im privaten Umfeld sicherlich kein hohes Risiko. Im Unternehmen kann man erstmal nur warten.
Die Frage wird dir imho hier keiner beantworten können. Microsoft muss liefern – ob die es können, werden wir sehen.
Hallo, Herr Born,
Ich habe die automatische Update-Suche am 16.03.2018 für mein PC mit Windows 7 64 bit eingeschaltet. Es wurden jedoch nur erneut das Update KB2952664 und das Tool zum Entfernen bösartiger Software (KB890830) als wichtige Updates heruntergeladen und installiert.
Die Updates KB4088875 und KB4088878 werden mir bis heute nicht angeboten. Nur das optionale Update vom 22.02.2018 2018-02 – Vorschau des monatlichen Qualitätsrollups für Windows 7 für x64-basierte Systeme (KB4075211) wird nach wie vor angeboten.
Ein aktueller Virenscanner (Kaspersky 2018) ist installiert und der entsprechende Eintrag in der Registry unter QualityCombat ist vorhanden. Die monatlichen Updates Sicherheitsqualitätsrollups Januar und Februar 2018 sind installiert. Das Windows-Update KB4078130 (Januar/Februar) zur Deaktivierung von Spectre 2-Patch habe ich nicht installiert.
Im Internet ist nicht zu sehen, dass die Updates KB4088875 und KB4088878 von Microsoft zurückgenommen wurden.
Wer oder was kann helfen?
Die beiden Updates sind (in-)offiziell zurückgezogen. Lieber nicht installieren, auch nicht manuell, sofern es noch im Katalog ist. Abwarten ist die Devise. Das KB2952664 würde ich nicht installieren, ist auch nur mE optional.
Hi, habe das Problem auch gehabt, allerdings haben wir festgestellt, dass es eigentlich einen anderen Grund hat. Das eigentliche Problem dabei ist, dass das Update "ursprünglich" angelegte Netzwerk-Controller wieder reaktiviert, falls diese mal vorhanden waren, was zum Beispiel bei Clonen der Fall ist. Erstellt man also seine VMs aus "Vorlagen" ist es wahrscheinlich, dass man einen deaktivierten Netzwerk-Controller hat, der jetzt aktiviert wird. Natürlich ist das ein grundlegendes Windows-Problem, aber bei uns hat es nur Clone betroffen und Server mit deaktivierten Controller hat das Problem nach Update immer, Server die vorher keinen de aktiven Controller hatten, haben das Problem nicht.
Trotzdem danke für die Auskünfte, ohne die Befehle:
– set devmgr_show_nonpresent_devices=1
– start devmgmt.msc
–> Ausgeblendete Geräte anzeigen
wäre ich vermutlich nicht auf die Idee gekommen, das mal zu prüfen.
Ich würde also jedem VMWare Benutzer der regelmäßig Clone erstellt raten das mal zu prüfen, auch ganz weg von den seltsamen Updates von MS :)
Eine Variante wäre auch, dass die deaktivierten Controller wie in meinem Fall bereits vorher existiert haben, aber erst durch das Update auch "sichtbar" wurden, aber auch das wäre ein Problem was MS hervorruft, ich gehe auf jeden Fall davon aus, dass es Clone und oder Windows Versionen betrifft, die irgendwann mal einen anderen Controller hatten.
Danke für die interessante Ergänzung.
Seltsam ist vor allem folgendes: Lösche ich auf einem 2008 R2 die SlotPersistentInfo wie von Microsoft als Fix für das Convenient Update vorgeschlagen, dann ist das Netzwerk nach dem Reboot noch wunderbar eingerichtet und es werden neue Schlüssel mit der "neuen" MAC-Adresse angelegt. Mache ich das auf einem 2012 R2, dann wird hier ein neuer Netzwerkadapter eingebaut und auf DHCP gestellt. Der alte wird deaktivert. Also zwei komplett gegensätzliche Verhaltensweisen.
Trotzdem gibt es das Problem mit den Klonen auf 2012 R2 ebenfalls und wird einem möglicherweise später mal auf die Füße fallen.
Noch eine Anmerkung und eine Frage, dass keine Sicherheitsupdates März 2018 für Windows 7 über die Windows-Update-Suche ab 16.03. angezeigt werden und auch nicht installiert sind. Es erfolgt nur die Angabe, dass keine wichtigen Updates verfügbar sind.
Ich habe bei Microsoft angerufen, um den Grund zu erfahren, weshalb über die Windows-Suche keine Sicherheitsupdates angeboten werden. Gem. Auskunft gibt es keine Probleme mit den Updates KB4088875 und KB4088878 und von einer Rücknahme der Updates ist nichts bekannt. Wenn mir keine Sicherheitsupdates angeboten werden, seien auch keine Sicherheitsupdates für Windows 7 für diesen Monat erforderlich (??).
Nun ja.
Außerdem wurde auf den Windows-Update-Catalog verwiesen.
Sind diese Updates für alle PCs mit Windows 7 riskant?
Beim sec only KB4088878 ist das Datum gleich, 12.03., das große Monatsupdate KB4088875 hat ein neues Datum, 14.03.2018, zumindest im MS-Catalog.
Da hat sich also wohl was geändert. Obs nun fehlerfrei(er) ist, wird man nur durch probieren feststellen können. Und es gilt nat. nie für alle Hardware, dafür ist das zu viel und zu unterschiedlich.
in Ergänzung,
grad mal IN die Datei geschaut, hat sich nix geändert, Inhalt ist identisch, Dateigröße ebenfalls unverändert. Vorher war das Datum nur der 12.03., daher die Vermutung. :(
Zur Frage, warum auf bestimmten Maschinen keine Monatsupdates angeboten werden, habe ich leider auch keine Antwort. Einzige Ausnahme: Wenn das Kompatibilitätsflag des Fremdvirenscanners nicht gesetzt ist (siehe KB4072699), wird das Update verweigert bzw. nicht angeboten.
Aber ich habe eine Nachfrage per E-Mail vorliegen, wo ein Entwickler sicher ist, dass das AV-Flag gesetzt ist. Trotzdem kommen auf Kundenmaschinen keine Updates. Seltsam, falls mir da was unter die Augen kommt, trage ich es nach.
sollte der Eintrag in reg. fehlen und man keine Einträge manuell vornehmen möchte, gibts bei Heise ne passende Datei, Doppelklick drauf, Eintrag wird erstellt. :)
ftp://ftp.heise.de/pub/ct/spezial/GibMirUpdates.zip
von
https://www.heise.de/ct/artikel/Windows-7-Keine-aktuellen-Updates-ohne-Virenscanner-3978274.html
Danke für die Ergänzung. Diesen Eintrag (über die heise.de reg-datei) sollte man aber nur anwenden, wenn man weiß, was man tut. Das AV-Flag hat schon seine Bedeutung und wer manuell nach bastelt, läuft ggf. in BlueScreens.
Aber die heise-Datei, entpackt, enthält und macht doch grad genau das, was im Micosoft-Artikel KB4072699 steht?!
Gibst denn auch ne negative Auswirkung, wenn es den Reg.-Eintrag eig. nicht braucht und man ihn trotzdem vorsichtshalber gesetzt hat?
Heute Abend kam KB4099950 als optionales Update rein, was – laut MS-Beschreibung – genau das Netzwerkproblem mit dem Verlust einer statischen IP-Adresse beheben soll.
Abgesehen davon, dass ich hier – in allen Win7-Installationen, VMs wie echten, x86 wie x64 – kein Problem mit KB4088875 erlebt habe (außer bösem Herzklopfen trotz vorherigem Image; auch erst installiert nach dem 20.3.), gab es auch bei KB4099950 kein Problem.
Interessant wäre, ob es Nebenwirkungen gibt auf Systemen, die von KB4088875 lahmgelegt wurden. Verbessern wird es ja kaum etwas, weil inzwischen wohl alle betroffenen Systeme – zumindest derer, die hier mitlesen – manuell korrigiert sein dürften.
Das KB4099950 hat eine Größe von 29KB.
Um so größer das Problem, um so kleiner das Update, um so weniger Nebenwirkungen sind zu erwarten.
Zu KB4088875 ist mir heute folgendes aufgefallen: Das Datum in dem KB-Artikel bezieht sich auf 27.03.2018 ! Unter dem Abschnitt "Voraussetzungen" wird auf die Aktualität der PCI.SYS hingewiesen. Wenn diese Datei auf dem zu aktualisierendem PC älter ist als Version 6.1.7601.21744 soll man das u.a. VBscript ausführen …. !?
Hat das jemand hier gemacht oder hat sich wer damit auseinandergesetzt ?
Ich bin kein Coder …, hat dieses VBScript etwas mit dem NIC-BUG in KB 4099950 zu tun ?
KB4088875 installiert, ohne das VBScript. Die PCI.SYS hatte nach dem Update durch KB4088875 die Dateiversion 6.1.7601.24056, Maschine läuft derzeit ohne Probleme…
Moin,
WSUS hat heute gemeldet, dass
KB4088875, KB4088878 und KB4088881 überarbeitet wurden.
Im KB Artikel hat sich aber m.M.n. nichts geändert? Bugs weiterhin vorhanden.
Hat wer aktuelle Infos dazu?
Dankeschön
im MS-Catalog hat sich bei KB4088875/4088878 das Datum auf jetzt 4-4-2018 geändert. Inhalt entpackt (bit-)identisch mit vorher, also keine Änderung.
Es gibt einen neuen Artikel, in dem ich die Details, die mir so aufgefallen sind, zusammen getragen habe. Im wesentlichen wurden die KB-Artikel geändert.
Windows KB4090450, KB4088875, KB4088878, KB4088881