В Октябре был выпущен ряд обновлений, относящихся к категории обновлений безопасности Windows, установка которых может вызвать ошибки в приложениях, использующих программный интерфейс устаревшего Поставщика OLE DB для Jet (Microsoft.Jet.OLEDB.4.0), например, при попытке программного доступа в Microsoft Office Excel или Access версии 2007 и более старых версий Office или сторонних приложений, таких как 1С, самописных АРМ-ов и т.п., использующих данный интерфейс. Перечень обновлений (то, что удалось найти), установка которых порождает проблему : Windows 7, Windows Server 2008 R2 KB4041681 , KB4041678 , KB4041686 Windows Server 2012 KB4041690 Windows 8.1, Windows Server 2012 R2 KB4041693 , KB4041687 Windows 10 1507 (RTM) KB4042895 Windows 10 1607, Windows Server 2016 KB4041691 Windows 10 1703 KB4041676 Ошибка, которая может возникать при попытке вызова Поставщика OLE DB для Jet после установки данных обновлений: Unexpected error from external database driver (1). (Microsoft JET Database Engine) ...или... "Непредвиденная ошибка с внешнего драйвера базы данных (1). (Microsoft JET Database Engine)". Другие примеры ошибок, которые могут возникать в данной ситуации: [Microsoft][Driver ODBC Excel] Reserved error (-5016). [Microsoft][ODBC Excel Driver] General Warning Unable to open registry key 'Temporary (volatile) Jet DSN for process Собственно, данная проблема описана в соответствующих статьях KB к выше обозначенным обновлениям в перечне известных проблем: В качестве решения проблемы предлагается использование более современного Поставщика, например Microsoft Access Database Engine 2010 (Microsoft.ACE.OLEDB.12.0) или новее. Если же оперативное изменение Ваших приложений, использующих Microsoft.Jet.OLEDB.4.0, невозможно, то лучше воздержаться от установки выше обозначенных обновлений, по крайней мере, до тех пор, пока не будут выпущены "обновления на обновления", исправляющие данную проблему. По некоторой информации совсем недавно были выпущены обновления, направленные на решение проблемы для Windows 7 и Windows 8.1, но, по уже традиционному для Microsoft сценарию, эти обновления оказались кривыми и в данный момент они недоступны для загрузки: Windows 7, Windows Server 2008 R2 KB4052234 Windows Server 2012 KB4052235 Windows 8.1, Windows

Сообщение Октябрьские обновления безопасности Windows вызывают сбой работы приложений, использующих интерфейс Поставщика OLE DB для Jet (Microsoft.Jet.OLEDB.4.0) появились сначала на Блог IT-KB.

При использовании удалённого подключения к операционным системам Microsoft Windows/Windows Server по протоколу RDP в некоторых случаях может возникать потребность в смене пароля учётной записи пользователя. При этом инициатором смены пароля в разных ситуациях может выступать как сам пользователь, так и администратор Windows-системы. В  некоторых сценариях может получиться так, что, казалось бы, несложная задача смены пароля может стать не такой уж и простой. Поэтому в данной записи я попробую собрать информацию о самых разнообразных способах смены пароля учётной записи пользователя в RDP-сессии. Способ №1 - "Горячие" клавиши В случае, если пользователю Windows необходимо самостоятельно изменить пароль своей учётной записи, то в стандартной Windows-сессии пользователем может использоваться всем известное сочетание "горячих" клавиш Ctrl-Alt-Del. Это сочетание клавиш вызывает специальный экран Безопасности Windows (Windows Security), с которого доступна функция изменения пароля: Если же речь заходит об использовании горячих клавиш в RDP-сессиях, то стоит заметить то, что во избежание перехвата некоторых сочетаний клавиш локальной клиентской системой (системой, с которой запускается RDP-клиент), перенаправление сочетаний клавиш Windows должно быть явно разрешено в свойствах RDP-клиента. Например в клиенте mstsc.exe, встроенном в Windows, данную опцию можно включить на закладке управления локальными ресурсам. В стандартной первичной RDP-сессии для вызова специального экрана Безопасности Windows с функцией изменения пароля используется сочетание клавиш: Ctrl-Alt-End В случае использования вложенных RDP-сессий (второго и последующего уровней), то есть когда из одной RDP-сессии открывается другая RDP-сессия, стандартное сочетание клавиш работать не будет. В разных источниках в интернете можно найти информацию об использовании более сложных сочетаний клавиш, таких как Ctrl-Alt-Shift-End или Shift-Ctrl-Alt-End. Однако мои эксперименты с Windows 10/Windows Server 2012 R2 показали, что данные сочетания клавиш попросту не работают (возможно они работали в ранних версиях ОС Windows). В этом случае на выручку нам может прийти следующий способ. Способ №2 - Экранная клавиатура В составе Windows имеется приложение "Экранная клавиатура" (On-Screen Keyboard), расположенное по умолчанию в %SystemRoot%\System32\osk.exe. Используя это

Сообщение Способы смены пароля учётной записи пользователя в RDP-сессии появились сначала на Блог IT-KB.

Информация об уязвимости в провайдере безопасности CredSSP ОС Windows была опубликована 13.03.2018 в документе CVE-2018-0886 | CredSSP Remote Code Execution Vulnerability. В этом документе можно найти ссылки на обновления безопасности, которые были выпущены для закрытия этой уязвимости. Выпущенные обновления относятся к механизмам CredSSP, как в клиентских, так и в серверных ОС Windows. При этом неправильная последовательность развёртывания обновлений, касающихся CredSSP, может привести к неожиданным последствиям. Например, если перечисленные в документе мартовские обновления не были установлены на стороне сервера служб удалённых рабочих столов (Remote Desktop Services\RDS), но при этом на клиентских Windows-системах разворачивается выпущенное 08.05.2018 кумулятивное обновление (Monthly Rollup), получится так, что клиенты больше не смогут подключиться к RDS-серверу, получив ошибку проверки подлинности с отсылкой на исправление безопасности CredSSP: Это связано с тем, что майские обновления приводят к форсированному применению более высокого уровня безопасности CredSSP для исключения возможности эксплуатации ранее обнаруженной уязвимости. Из информации о ревизиях CVE-2018-0886: Microsoft is releasing new Windows security updates to address this CVE on May 8, 2018. The updates released in March did not enforce the new version of the Credential Security Support Provider protocol. These security updates do make the new version mandatory. For more information see "CredSSP updates for CVE-2018-0886" located at https://support.microsoft.com/en-us/help/4093492. Более подробную информацию о вносимых в систему изменениях и вариантах использования режимов работы CredSSP можно получить из статьи KB4093492 - CredSSP updates for CVE-2018-0886. Помимо служб RDS, замечено, что отсутствие обновления для CredSSP на стороне серверов виртуализации Hyper-V также может привести к невозможности подключения к консолям виртуальных машин при попытке доступа с обновлённых клиентских систем через консоли управления Hyper-V Manager или SCVMM. Учитывая то обстоятельство, что патченный клиент не сможет подключаться к непатченному серверу, важно соблюсти корректную последовательность развёртывания обновлений из службы Windows Update/WSUS, описанных в CVE-2018-0886.  То есть, сначала планируем и разворачиваем обновления безопасности на стороне серверов RDS, а затем

Сообщение Ошибка проверки подлинности при подключении к удалённому рабочему столу Windows RDS …"Причиной ошибки может быть исправление шифрования CredSSP" появились сначала на Блог IT-KB.

В блоге Microsoft Exchange Team Blog на днях была опубликована информация о том, что Июльские обновления Windows Update для Windows Server, выпущенные 10.07.2018 г., могут нарушить работу Exchange Server. Позднее, 17.07.2018, появилась информация о том, что выпущен набор корректирующих обновлений, которые будут устанавливаться поверх проблемных обновлений. Таблица исходных обновлений, создающих проблемы, и корректирующих эти проблемы обновлений выглядит следующим образом: Операционная система Проблемное обновление Корректирующее обновление Windows Server 2016 KB4338814 KB4345418 Windows Server 2012 R2 KB4338824 KB4345424 KB4338815 KB4338831 Windows Server 2012 KB4338820 KB4345425 KB4338830 KB4338816 Windows Server 2008 R2 SP1 KB4338823 KB4345459 KB4338818 KB4338821 Windows Server 2008 KB4295656 KB4345397 Судя по статьям KB для корректирующих обновлений, исходные обновления могут вызвать проблемы не только с Exchange Server, но и с службами веб-сервера IIS и SQL Server. И это только то, что официально подтверждено на данный момент. И исходные и корректирующие обновления уже доступны в службах Windows Update, поэтому следуют обратить особое внимание на то, что при планировании развёртывания исходных обновлений очень желательно включать развёртывание соответствующих корректирующих обновлений.

Сообщение Июльские обновления Windows Server могут нарушить работу Exchange Server, SQL Server, IIS появились сначала на Блог IT-KB.

При использовании WSUS на базе Windows Server 2012 R2 было замечено, что в последнее время наблюдались временные отказы при синхронизации метаданных с онлайн службой Windows Update. Синхронизация не работала несколько дней в Июле, затем в конце Июля опять заработала. И вот теперь ситуация снова повторяется, однако, судя по всему, рассчитывать на самовосстановление сервиса уже не приходится. Теперь при каждой попытке выполнить синхронизацию из консоли WSUS стала воспроизводится одна и та же "непредвиденная ошибка". Ход выполнения синхронизации и ошибку, возникающую при синхронизации можно увидеть на сервере WSUS в лог-файле, расположенном в конфигурации по умолчанию в пути: C:\Program Files\Update Services\LogFiles\SoftwareDistribution.log ... SoapException: Fault occurred at System.Web.Services.Protocols.SoapHttpClientProtocol.ReadResponse(SoapClientMessage message, WebResponse response, Stream responseStream, Boolean asyncCall) at System.Web.Services.Protocols.SoapHttpClientProtocol.Invoke(String methodName, Object[] parameters) at Microsoft.UpdateServices.ServerSyncWebServices.ServerSync.ServerSyncProxy.GetUpdateData(Cookie cookie, UpdateIdentity[] updateIds) at Microsoft.UpdateServices.ServerSync.CatalogSyncAgentCore.WebserviceGetUpdateData(UpdateIdentity[] updateIds, List`1 allMetadata, List`1 allFileUrls, List`1& updatesWithSecureFileData, Boolean isForConfig) at Microsoft.UpdateServices.ServerSync.CatalogSyncAgentCore.GetUpdateDataInChunksAndImport(List`1 neededUpdates, List`1 allMetadata, List`1 allFileUrls, Boolean isConfigData) at Microsoft.UpdateServices.ServerSync.CatalogSyncAgentCore.ExecuteSyncProtocol(Boolean allowRedirect) ... Выяснилось то, что, согласно статьи 4482416 - WSUS synchronization fails with SoapException, с начала Июля этого года точка подключения для серверов WSUS изменилась с адреса, который использовался прежде, (https://fe2.update.microsoft.com/v6) на новый адрес: https://sws.update.microsoft.com. Как это ни странно, Microsoft не выполнила автоматической корректировки точки подключения посредствам какого-нибудь очередного обновления WSUS, а отделалась выше указанной статьёй. Информация в статье применима к роли WSUS, развёрнутой на системах: Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 В нашем случае на сервере WSUS достаточно оказалось выполнить фрагмент PS-кода, предложенного для решения проблемы в статье: [void][reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration") $server = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer() $config = $server.GetConfiguration() # Check current settings before you change them $config.MUUrl $config.RedirectorChangeNumber # Update the settings if MUUrl is https://fe2.update.microsoft.com/v6 $config.MUUrl = "https://sws.update.microsoft.com" $config.RedirectorChangeNumber = 4002 $config.Save(); iisreset Restart-Service *Wsus* -v Данный фрагмент должен успешно отработать и на Windows Server 2012 и на Windows Server 2012 R2. В случае, если сервер WSUS всё ещё работает на базе ранних версий,

Сообщение Ошибка "SoapException: Fault occurred" при синхронизации WSUS на Windows Server 2012 R2 с онлайн каталогом Windows Update появились сначала на Блог IT-KB.

По появившейся на днях информации, развёртывание Ноябрьских кумулятивных обновлений для ОС Windows Server может привести к проблемам в работе механизмов делегирования в сценариях Single Sign-On (SSO) при использовании протокола Kerberos. В частности, установка кумулятивного обновления на контроллеры домена Active Directory может привести к нештатной работе таких приложений, как SQL Server, IIS, WAP, ADFS и прочих. В перечень обновлений, для которых были замечены проблемы входят: KB5007206 - Windows Server 2019 KB5007192 - Windows Server 2016 KB5007247 - Windows Server 2012 R2 KB5007260 - Windows Server 2012 KB5007236 - Windows Server 2008 R2 SP1 KB5007263 - Windows Server 2008 SP2 Учитывая то, что перечисленные накопительные обновления доступны для развёртывания через службу WSUS, следует более внимательно отнестись к их предварительному тестированию перед развёртыванием в продуктивной среде. Появилась дополнительная информация о том, что для тех, кто уже развернул в продуктивной среде перечисленные выше кумулятивы и столкнулся с проблемами работы Kerberos, есть набор срочных обновлений, исправляющих эти проблемы: KB5008602 для Windows 10 1909 / Server 2019 KB5008601 для Windows 10 1607 / Server 2016 KB5008603 для Windows Server 2012 R2 KB5008604 для Windows Server 2012 KB5008605 для Windows Server 2008 R2 На текущий момент времени данные обновления не доступны для автоматического развёртывания в службе WSUS, но при необходимости их можно скачать с сайта Microsoft Update Catalog и вручную импортировать на внутренний сервер WSUS. В средах, где нет жёстких требований к наличию всех самых актуальных обновлений Windows, возможно, имеет смысл воздержаться от развёртывания Ноябрьских кумулятивов и дождаться выпуска Декабрьских кумулятивов, которые (предположительно) могут включать в себя исправление обнаруженных проблем с работой протокола Kerberos.

Сообщение Ноябрьские накопительные обновления Windows Server могут вызывать проблемы с Kerberos появились сначала на Блог IT-KB.