[English]Mit den Sicherheitsupdates, die Microsoft zum 9. Juli 2024 für Windows ausgerollt hat, gibt es einige Probleme. So liegen mir einige Berichte vor, dass der Remotedesktop Gateway Dienst unter einigen Windows-Versionen (Windows Server 2019, Windows Server 2022) kaputt ist und regelmäßig abstürzt. Dies verhindert Remote-Verbindungen. Ein Blog-Leser hat mich nun auf einen möglichen Workaround hingewiesen, der den Remotedesktop Gateway Dienst am Leben erhält, so dass die Deinstallation des betreffenden Sicherheitsupdates von Juli 2024 möglicherweise unterbleiben kann.
Anzeige
Remote Desktop Gateway-Dienst kaputt
Die Sicherheitsupdates vom 9. Juli 2024 verursachen definitiv Kollateralschäden beim Remote Desktop Gateway-Dienst. Christian hatte sich in diesem Kommentar gemeldet und schreibt, dass er das kumulative Update KB5040442 auf einem 2022er Server wieder deinstallieren musste. Ich hatte die diversen Nutzermeldungen und eine Beschreibung des Sachverhalts im Blog-Beitrag Windows Juli 2024-Updates machen Remote-Verbindungen kaputt herausgezogen.
Darauf hin haben sich weitere Benutzer gemeldet, die das gleiche Problem unter Windows Server 2019 bestätigen. In diesem Kommentar schreibt Chris, dass der TSGatewaydienst unter Windows Server 2019 in unregelmäßigen Abständen (3 – 45 Minuten) automatisch beendet wird. Im Application-Log wird folgender Fehler gemeldet:
Faulting application name: svchost.exe_TSGateway, version: 10.0.17763.3346, time stamp: 0xb6a0daab
Faulting module name: aaedge.dll, version: 10.0.17763.6054, time stamp: 0xce1c5805
Im System-Log wird dann folgender Fehlereintrag abgelegt.
The Remote Desktop Gateway service terminated unexpectedly. It has done this 2 time(s). The following corrective action will be taken in 300000 milliseconds: Restart the service.
Es gibt in den Kommentaren zum oben verlinkten Blog-Beitrag weitere Bestätigungen zu diesem Fehler, der durch das betreffende Juli 2022-Update verursacht wird. Andy schreibt hier, dass Microsoft die Juli 2024-Updates für Windows Server bereits zurückgezogen habe. Allerdings scheint es nicht jeden Windows Server zu betreffen, in diesem Kommentar werden die geschilderten Probleme negiert.
Anzeige
Die durch die Sicherheitsupdates vom 9. Juli 2024 geschlossenen Schwachstellen sind beispielsweise in diesem Akamai-Artikel aufgelistet.
Workaround für das Problem?
Blog-Leser Magican hat sich in diesem Kommentar zum Artikel Patchday: Windows 10/Server-Updates (9. Juli 2024) gemeldet und schrieb: "Here is the according MS article with a temporary solution". Der Leser verwies auf den Beitrag July 07-2024 Updates Break Remote Desktop Gateway Servers im Microsoft Q&A-Bereich (Microsoft Learn). Dort schreibt jemand zum 16. Juli 2024 folgendes:
July 07-2024 Updates Break Remote Desktop Gateway Servers
We are seeing the issue on 2 of our four RDS Gateways (running 2022 STD).
Faulting application name: svchost.exe_TSGateway,
version: 10.0.20348.2520,
time stamp: 0xf862c7cb
Faulting module name: aaedge.dll,
version: 10.0.20348.2582,
time stamp: 0x78ded40f
Exception code: 0xc0000005
Fault offset: 0x000000000006613c
Faulting process id: 0x273c
Faulting application start time: 0x01dad77010a2bee1
Faulting application path: C:WINDOWS\system32\svchost.exe
Faulting module path: c:windows\system32\aaedge.dll
Report Id: d4502b05-b974-4660-bc13-5f2da108f403
Faulting package full name:
Faulting package-relative application ID:and in TerminalServices-Gateway log:
The following exception code "3221225477" occured in the RD Gateway server. The RD Gateway will be restarted. No user action is required.The results of these crashes are that all users connected via the affected gateway are immediately disconnected and must reconnect. Obviously very disruptive when its happening every 30 or so minutes!
Sobald das betreffenden Juli 2024-Update deinstalliert wird, ist das Problem behoben. Wäre auf den ersten Blick lediglich eine Bestätigung des oben beschriebenen Sachverhalts, allerdings angereichert um einige Hinweise aus dem Fehlerreport. Allerdings ist der Thread recht interessant, weil sich ein Benutzer mit dem Namen Karlie Weng gemeldet hat, der sich als "Microsoft Vendor" (also Verkäufer) bezeichnet. Weng gibt an, dass sei einen Workaround für die Abstürze gefunden haben und schreibt dazu.
It appears that the problem is linked to the RPC-over-HTTP transport mechanism that the RDClient used to establish a connection with the Gateway.
As a temporary solution, you might want to try one of the following options:
- On your Remote Desktop Gateway (RD Gateway), create a new firewall rule to block incoming traffic on port 3388. Ensure the rule specifies "Deny" or "Block" to effectively prevent access.
- From all Windows client machines, delete the registry entry associated with RDGClientTransport. The specific path to this entry is: HKCU\SOFTWARE\Microsoft\Terminal Service Client\RDGClientTransport.
Please proceed with caution when modifying firewall rules and registry entries, as these changes can affect system functionality. It's recommended to back up relevant configurations before making any alterations.
Es ist für mich an dieser Stelle unklar, ob der Fix wirkt und überhaupt anwendbar ist. Das Löschen eines Registrierungseintrags lässt sich nur an einzelnen Maschinen so vornehmen. Und in Antworten auf den Post von Weng fragt ein Nutzer, welche RDP-Clients diesen Transport normalerweise verwenden? Und wenn der Transport deaktiviert ist, welcher alternative Transport wird dann verwendet? Aber vielleicht hat einer der betroffenen Leser die Möglichkeit, das zu testen und kann Rückmeldung geben, ob es hilft.
Ähnliche Artikel:
Microsoft Security Update Summary (9. Juli 2024)
Patchday: Windows 10/Server-Updates (9. Juli 2024)
Patchday: Windows 11/Server 2022-Updates (9. Juli 2024)
Windows Server 2012 / R2 und Windows 7 (9. Juli 2024)
Microsoft Office Updates (9. Juli 2024)
Windows 11 Update KB5040442 verursacht Probleme mit Outlook 2021
Windows Juli 2024-Updates machen Remote Verbindungen kaputt
Windows 10/11 Updates (z.B. KB5040442) triggern Bitlocker-Abfragen (Juli 2024)
Windows Update Juli 2024: Gibt es Probleme mit Radius-Authentifizierungen?
Juli 2024-Sicherheitsupdate KB5040427 lässt Windows 10/Server LPD-Druckdienst abstürzen
Microsofts Fixes für diverse Windows-Bugs (Juli 2024)
Anzeige
Geil… RDP ist ja oftmals mit seinen beiden Ports Keyhole in (internen) Firewalls und VPNs. Da freuen sich jetzt richtig viele, da einen weiteren Port öffnen zu müssen…
Mein Rough Guess… Kaffee trinken und abwarten….
Für mich klingt es eher so, als ob man einen Port schließen soll.
Port 3388 ist "RPC over HTTP" (https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-tsgu/452d42f1-5fd1-439c-b402-80cbc39284d6), beide Protokolle (unverschlüsseltes HTTP und darüber getunneltes RPC) sind nun nicht gerade die sichersten und nicht das, was man gerne nach draußen geben will.
Die meisten Google-Fundstellen zu diesem Protokoll, Port und Registry-Key scheinen sich auch auf 2012R2 zu beziehen
Zumal ja offensichtlich eine Tunnelung über HTTPS (Port 443) zur Verfügung steht.
Wir machen (soweit überhaupt) Remote-Desktop via VPN, deswegen ist uns das Problem bisher nicht aufgefallen.
Für mich klingt es eher so, als hätte Microsoft einen alten Zopf abgeschnitten – allerdings früher als es manche Anwender auf dem Schirm hatten.
Woraus genau leitest Du ab, dass ein weiterer Port geöffnet werden muss?
Das Gegenteil wird vorgeschlagen, nämlich, den Zugriff auf den Port 3388 auf dem RD Gateway Server zu blocken.
Mi dem Blocken des Ports 3388 wäre ich aber vorsichtig, ich habe bislang keine offiziellen Infos zum Port 3388 in Zusammenhang mit der RDGateway.exe finden können, bei einem Pentester gibt es aber die Info, dass der Port wohl für das Loadbalancing in Umgebungen mit mehreren RDS Server benötigt wird:
"TCP 3388: This port is used by RDP in a load-balanced environment where multiple servers are providing remote desktop services."
Ich verstehe das mal so, dass durch das blocken dieses Ports evtl. keine Verteilung der Sessions auf die diversen RDS Server mehr möglich sein könnte, sicher bin ich da aber nicht.
Ich weiß ja nicht wie ihr Eure Terminalserver betreibt, bei uns sind by default nur RDP TCP/UDP intern offen und nach außen gibt es den RDP2HTTP Gateway Guacamole..
Remote Desktop Gateway in Verbindung mit dem offiziellen HTML5 Client + unserer MFA Lösung.
RDP2HTTP ist ja genau das was das Gateway macht
Frage in die Runde:
Warum betreiben Sie nicht-öffentliche Dienste wie RDP (Zugriff nur für Firmenangehörige) auf den Standardports?
Bereits um die Logfiles übersichtlicher zu halten (weniger Zugriffe) hat es sich bewährt, auf zufällig gewählte Highports auszuweichen, es schützt aber auch vor vielen Würmern.
Guten Tag,
wir nutzen RDP über den Entra ID App Proxy. (So ist es eingerichtet: https://parveensingh.com/publish-rds-environment-with-azure-ad-application-proxy/) Lief bis zum Update ohne Probleme.
Leider scheint dieser nur RPC-HTTP zum RDG zu machen. (RPC muss explizit hinzugefügt werden)
Ich bekomme zwar den Webclient (https://learn.microsoft.com/en-us/entra/identity/app-proxy/application-proxy-integrate-with-remote-desktop-services) eingerichtet und der Verbindet sich auch mit HTTPS aber wir möchten gerne die klassischen RDP Files nutzen und das scheint nicht zu funktionieren.
Hat da jemand noch eine Idee für einen Workaround?
RPC zu deaktivieren bedeutet in unserem Fall, gar keinen Zugriff mehr zu haben.
LG
Marius
Moin,
habe gerade festgestellt, dass auch wenn das Update nicht auf dem Server installiert ist, das KB5040442 auf Windows 11 ebenfalls dafür sorgt, dass der Client Remote nicht erreichbar ist. Ich bin fälschlicherweise davon ausgegangen, dass das Update nur Probleme macht, wenn es auf dem RDS-Gateway Server installiert wird…
Das Update ließ sich auf dem Client nicht deinstallieren, habe eine VPN eingerichtet um das RDS-Gateway zu umgehen.
Also kurz: ist KB5040442 auf dem Ziel-Client installiert, schmeißt das RDS-Gateway einen Fehler.
Umgebung: Server 2022 mit RDS-Gateway, Ziel-Client Windows 11 Pro
Die Verbindung war von verschiedenen Geräten aus nicht möglich. W10 Pro, W11 Pro, iOS App