{"id":37775,"date":"2025-04-19T00:01:48","date_gmt":"2025-04-18T22:01:48","guid":{"rendered":"http:\/\/159.69.82.204\/win\/?p=37775"},"modified":"2025-04-17T16:51:06","modified_gmt":"2025-04-17T14:51:06","slug":"vmware-tools-12-5-1-issues-with-network-and-ad-service-accounts","status":"publish","type":"post","link":"https:\/\/borncity.com\/win\/2025\/04\/19\/vmware-tools-12-5-1-issues-with-network-and-ad-service-accounts\/","title":{"rendered":"VMware Tools 12.5.1: Issues with network and AD service accounts?"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.borncity.com\/blog\/wp-content\/uploads\/2025\/03\/image-9.png\" alt=\"VMware\" width=\"65\" height=\"65\" align=\"left\" \/>[<a href=\"https:\/\/www.borncity.com\/blog\/2025\/04\/19\/vmware-tools-12-5-1-probleme-mit-netzwerk-und-mit-ad-dienstkonten\/\" target=\"_blank\" rel=\"noopener\">German<\/a>]VMWare by Broadcom released a security update for VMware Tools to version 12.5.1 at the end of March 2025 to close a vulnerability. A blog reader contacted me the other day because he was running into massive problems with the network and AD service accounts with this version of VMware Tools under VMware ESXi.<\/p>\n<p><!--more--><\/p>\n<h2>VMware Tools 12.5.1 closes CVE-2025-22230<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg06.met.vgwort.de\/na\/644751dd51dd43c4bc07db2f6ac66b8e\" alt=\"\" width=\"1\" height=\"1\" \/>An Authentication Bypass vulnerability (<a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-22230\" target=\"_blank\" rel=\"nofollow noopener\">CVE-2025-22230<\/a>) exists in VMware Tools for Windows in older versions prior to 12.5.1. An attacker with non-administrative privileges on a guest VM can bypass authentication due to insufficient access control and gain the ability to perform certain high-privilege operations within that VM.<\/p>\n<p>Broadcom had published the security advisor <a href=\"https:\/\/support.broadcom.com\/web\/ecx\/support-content-notification\/-\/external\/content\/SecurityAdvisories\/0\/25518\" target=\"_blank\" rel=\"noopener\">VMSA-2025-0005: VMware Tools for Windows update addresses an authentication bypass vulnerability (CVE-2025-22230)<\/a> on March 25, 2025 and offers the VMware Tools for Windows 12.5.1 with a fix. I had mentioned this in the German blog post <a href=\"https:\/\/www.borncity.com\/blog\/2025\/03\/26\/warnungen-vor-schwachstellen-in-software-26-maerz-2025\/\" target=\"_blank\" rel=\"bookmark noopener\">Warnungen vor Schwachstellen in Software (26. M\u00e4rz 2025)<\/a>.<\/p>\n<p>VMWare by Broadcom released a security update for VMware Tools to version 12.5.1 at the end of March 2025 to close a vulnerability. A blog reader contacted me the other day because he was running into massive problems with the network and AD service accounts with this version of VMware Tools under VMware Workstation.<\/p>\n<h2>Issues with network and AD service accounts<\/h2>\n<p>On April 15, 2025, German blog reader Heiko H. contacted me by e-mail because he was expecting help or confirmation from the readership. He wrote to me that he had updated the VMware Tools in his department to version 12.5.1 last weekend, as this version closes vulnerabilities in the VMware Tools for Windows in older versions before 12.5.1.<\/p>\n<h3>Just one of the reader's systems is affected<\/h3>\n<p>There are probably several hundred Windows servers in the reader`s enterprise environment and only one Windows server the reader is responsible for, causing massive issues with the updated VMware Tools 12.5.1. The symptoms are: The network is working too late and therefore the domain is not reachable in time. As a result, all services running under domain\/GMSA accounts do not start.<\/p>\n<h3>More details on the error pattern<\/h3>\n<p>Blog reader Heiko H. wrote that with VMware Tools 12.5.1 installed, the affected system gets a delayed connection to the network every time the virtualized Windows server is restarted. This applies if you do not use static IPs but have activated DHCP. Normally this should not be a problem, because if DHCP is active, Windows waits for the DHCP address before continuing and searching for the domain, loading services with domain account, loading GPOs, etc.<\/p>\n<p>Ist dagegen eine statische Adresse in Windows hinterlegt ist, geht das Betriebssystem wohl (zu fr\u00fch) davon aus, dass es eine funktionierende Netzwerkverbindung besteht. Dann l\u00e4uft das System in Probleme, da die Dom\u00e4ne nicht verf\u00fcgbar\/erreichbar ist. In Folge kann Windows dann die Dienste nicht starten, da die Konten\/Passw\u00f6rter ohne erreichbaren Domain Controller (DC) nicht validierbar sind.<\/p>\n<p>Im Debug-Log f\u00fcr den netlogon-Dienst stehen dann Fehler f\u00fcr DNS, Dom\u00e4nen-Suche und so weiter. Auch das Event-Log gibt enth\u00e4lt Meldungen f\u00fcr die fehlende Dom\u00e4ne und die fehlgeschlagenen Dienststarts.<\/p>\n<p>Zum\u00a0konkreten System schrieb der Leser, dass es sich um einen Windows Server 2022 mit statischer IP handelt, der in ESXi 7.x virtualisiert wurde. In der Vergangenheit erfolgte ein Upgrade von Windows Server 2016 zu Windows Server 2022. DHCP zu aktivieren ist in dieser Umgebung und bei diesem System f\u00fcr den Leser leider keine Option. Andere virtualisierte Windows Server in der Unternehmensumgebung des Betroffenen arbeiten auch mit statischen IP-Adressen und bereiten keine Probleme.<\/p>\n<p>Der Blog-Leser schreit, dass die IT das obige Problem eindeutig auf die Installation der VMware Tools 12.5.1 zur\u00fcckf\u00fchren k\u00f6nne, da nach dem Einspielen eines Backups und anschlie\u00dfendem Update der VMware Tools der Fehler erneut aufgetreten ist.\u00a0Der Leser hat im Anschluss noch Folgendes (leider ohne dauerhaften Erfolg) probiert hat:<\/p>\n<ul>\n<li>Die Netzwerkverbindungseinstellungen wurden an die eines funktionierenden Servers angeglichen,<\/li>\n<li>Die Netzwerk(karte) zur\u00fcckgesetzt, und diverse Netzwerkfunktionen (Proxy, VPN-Einstellungen) wurden in Windows aktiviert\/deaktiviert,<\/li>\n<li>weiterhin wurde die GPO \"Beim Anmelden auf Netzwerk warten aktiviert\".<\/li>\n<\/ul>\n<p>Als Workaround l\u00e4uft jetzt beim Systemstart ein Task mit 30 Sekunden Verz\u00f6gerung, der per PowerShell die Dienste der Anwendung auf dem Server startet. Der Leser schloss seine Mail mit dem Hinweis, dass er mit aktuellem Stand als finale L\u00f6sung noch zwei Optionen sieht (die er nach seinem Urlaub testen\/umsetzen kann, wenn auch nur ungern):<\/p>\n<ul>\n<li>Die VM-H\u00fclle\/-Konfiguration in VMware neu erstellen und den vorhandenen Server in einer neuen VM-H\u00fclle booten.<\/li>\n<li>Den kompletten Server neu installieren und einrichten. Das hat den Nachteil, dass dies mindestens einen Tag Produktionsausfall bedeuten.<\/li>\n<\/ul>\n<p>Der Leser bat darum, das Thema im Blog einzustellen, in der Hoffnung auf einen Tipp aus der Blog-Leserschaft. Denn er sei nach 1,5 Tagen testen mit seinem Latein am Ende, und auch ein testweises Abschalten aller Profile in der Windows Firewall hat nichts gebracht.<\/p>\n<h2>Weitere Berichte zum Problem<\/h2>\n<p>Der Leser hatte Bedenken, der ber\u00fchmte \"Einzelfall zu sein\", da nur einer der vielen Server bei ihm im Unternehmen betroffen ist. Der Fehler scheint wohl nicht breit aufzutreten, denn es gibt nicht allzu viele Fundstellen im Internet.<\/p>\n<h3>Ein Thread auf reddit.com<\/h3>\n<p>Auf reddit.com gibt es den Thread\u00a0<a href=\"https:\/\/www.reddit.com\/r\/sysadmin\/comments\/1jote9n\/network_not_ready_at_startup_with_vmware_tools\/\" target=\"_blank\" rel=\"noopener\">Network not ready at startup with VMware tools 12.5.1 on Windows Server<\/a>, wo das Problem ebenfalls beschrieben wird. Der Betroffene hat vor einigen Tagen das VMware-Tools-Update auf Version 12.5.1 durchgef\u00fchrt, indem er eine Baseline erstellt, die ESXi-Hosts aktualisiert und dann die entsprechenden virtuellen Maschinen (haupts\u00e4chlich mit Windows Server 2019) aktualisiert hat.<\/p>\n<p>Doch dann meldete die eingerichtete \u00dcberwachung einige Dienste, die automatisch starten sollten, dies aber nicht taten. Dieses Problem trat nach dem Neustart der Windows Server in den VMs auf.<\/p>\n<p>Der Betroffene hat das Problem dann\u00a0untersucht und herausgefunden, dass alle Dienste, die im Kontext von Dom\u00e4nendienstbenutzern laufen, beim Booten nicht starten k\u00f6nnen. (also genau das von Heiko weiter oben beschriebene Problem). In der Ereignisanzeige findet sich ein Eintrag mit der Ereignis-ID 7000. Der Eintrag gibt an, dass das vom Dienst verwendete Konto entweder nicht existiert oder das Kennwort falsch sei. Ein manueller Start des Dienstes funktioniert jedoch einwandfrei, also kann das Konto nicht so kaputt sein.<\/p>\n<p>Bei der weiteren Analyse hat der Betroffene\u00a0herausgefunden, dass seit dem VMware-Tools Update auf die 12.5.1 jeder Windows Server nach einem Neustart die Ereignis-ID 5719 von NETLOGON anzeigt. Das Problem seit neu und trat vorher nicht auf, schrieb der Nutzer und sieht dies als einen Hinweis auf die Ursache des Problems.<\/p>\n<p>Er vermutet, dass die Dienste auf den virtualisierten Windows Server 2019-Systemen starten, bevor das Netzwerk tats\u00e4chlich bereit ist. Das ist ein paar Tage lang unbemerkt geblieben, weil die Netlogon-Sache keine allzu gro\u00dfen Probleme verursacht, aber die anderen Dienste machen dem Betroffenen jetzt zu schaffen.<\/p>\n<p>Der Betroffene merkt an, dass es bereits 2011 ein solches Problem mit Windows Server 2008 R2 SP1 gegeben habe, was seinerzeit im VMware-Forum im Beitrag <a href=\"https:\/\/community.broadcom.com\/vmware-cloud-foundation\/discussion\/windows-netlogon-5719-at-startup\" target=\"_blank\" rel=\"noopener\">Windows NETLOGON 5719 at Startup<\/a> diskutiert wurde. Das hilft aktuell aber nicht weiter.<\/p>\n<p>Im reddit.com-Thread best\u00e4tigen andere Betroffene, u.a. mit virtualisierten Windows Server 2022-Installationen ebenfalls das Problem. Ein Poster schlug vor, per GPO die \"machine identity isolation configuration\" zu deaktivieren. Es sieht mir aber nicht so aus, als ob das die L\u00f6sung f\u00fcr einen der Betroffenen darstellt.<\/p>\n<h3>Erw\u00e4hnung bei deskmodder.de<\/h3>\n<p>Bei deskmodder.de gibt es <a href=\"https:\/\/www.deskmodder.de\/blog\/2025\/03\/26\/vmware-tools-12-5-1-korrigieren-2-sicherheitsluecken\/#comment-302047\" target=\"_blank\" rel=\"noopener\">diesen Kommentar<\/a>, wo ein weiterer Betroffener schreibt, dass man mit dem Update der VMware Tools 12.5.1 das Problem habe, dass nach dem Start das Netzwerk nicht bereit ist, wenn fest IP-Adressen verwendet werden. Dann l\u00e4sst sich keine\u00a0sichere Verbindung zum Domain Controller herstellen.<\/p>\n<h3>Probleme mit Sage-Backup<\/h3>\n<p>In der Sage-Community gibt es den Beitrag <a href=\"https:\/\/communityhub.sage.com\/gb\/sage-50-accounts\/f\/installing-your-software\/246319\/issues-backing-up-within-sage-after-upgrading-file-server-to-vmware-tools-12-5-1\" target=\"_blank\" rel=\"noopener\">Issues backing up within Sage after upgrading file server to VMWare Tools 12.5.1<\/a>, wo jemand Probleme mit der Datensicherung von einer Netzwerkinstallation von Sage beklagt, nachdem er einen Dateiserver auf die neueste Version von VMWare Tools aktualisiert hat.<\/p>\n<p>Nachdem der Windows\u00a0Server, auf dem die Sage-Daten und -Dienste liegen, auf die VMware Tools 12.5.1 aktualisiert wurde, fror Sage sofort ein, falls jemand versuchte, seine Daten zu sichern. Nach dem Zur\u00fccksetzen auf die VMware Tools 12.5.0 funktioniert alles wieder.<\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/>\n<\/strong><a href=\"https:\/\/www.borncity.com\/blog\/2024\/10\/10\/vmware-tools-12-5-0-veroeffentlicht\/\" rel=\"bookmark\">VMware Tools 12.5.0 ver\u00f6ffentlicht<\/a><br \/>\n<a href=\"https:\/\/www.borncity.com\/blog\/2025\/02\/21\/windows-11-24h2-vmware-workstation-pro-17-x-extrem-langsam\/\" rel=\"bookmark\">Windows 11 24H2: VMware Workstation Pro 17.x extrem langsam<\/a><br \/>\n<a href=\"https:\/\/www.borncity.com\/blog\/2025\/04\/02\/vmware-workstation-auto-updates-kaputt-werfen-zertifikatsfehler\/\" rel=\"bookmark\">VMware Workstation: Auto-Updates kaputt, werfen Zertifikatsfehler<\/a><br \/>\n<a href=\"https:\/\/www.borncity.com\/blog\/2024\/10\/08\/vmware-workstation-17-6-installationsproblem-auf-nicht-englischem-windows\/\" rel=\"bookmark\">VMware Workstation 17.6: Installationsproblem auf nicht englischem Windows<\/a><a href=\"https:\/\/www.borncity.com\/blog\/2024\/11\/08\/vmware-workstation-bald-auch-fuer-business-user-gratis\/\" rel=\"bookmark\">VMware Workstation bald auch f\u00fcr Business-User gratis?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[German]VMWare by Broadcom released a security update for VMware Tools to version 12.5.1 at the end of March 2025 to close a vulnerability. A blog reader contacted me the other day because he was running into massive problems with the &hellip; <a href=\"https:\/\/borncity.com\/win\/2025\/04\/19\/vmware-tools-12-5-1-issues-with-network-and-ad-service-accounts\/\">Continue reading <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[463,1218,2],"tags":[2021,47,1710,159],"class_list":["post-37775","post","type-post","status-publish","format-standard","hentry","category-issue","category-virtualization","category-windows","tag-esxi","tag-issue","tag-vmware","tag-windows-server"],"_links":{"self":[{"href":"https:\/\/borncity.com\/win\/wp-json\/wp\/v2\/posts\/37775","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/win\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/win\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/win\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/win\/wp-json\/wp\/v2\/comments?post=37775"}],"version-history":[{"count":3,"href":"https:\/\/borncity.com\/win\/wp-json\/wp\/v2\/posts\/37775\/revisions"}],"predecessor-version":[{"id":37777,"href":"https:\/\/borncity.com\/win\/wp-json\/wp\/v2\/posts\/37775\/revisions\/37777"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/win\/wp-json\/wp\/v2\/media?parent=37775"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/win\/wp-json\/wp\/v2\/categories?post=37775"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/win\/wp-json\/wp\/v2\/tags?post=37775"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}