Dnešní den jsem plánoval něco zcela jiného. Nakonec to dopadlo tak, že jsem se celý den snažil pochopit, co se to proboha stalo ve dvou různých firmách, ve kterých se v noci nainstalovaly na servery hotfixy. A od rána prudí uživatelé, že se nemůžou přihlásit přes RDP na server, že se jim Outlook nedokáže přihlásit k Exchange 2003 či Exchange 2010, ale přitom přes OWA vše jde. A nefunkční jsou i Outlooky na MAC OS X. Teď, po dvanácti hodinách, už samozřejmě vidím souvislost, ale ráno ani omylem. Takže co se to vlastně stalo?
Microsoft vydal hromadu hotfixů. Ti, kdo si chtějí (bláhově) ušetřit práci a mají na serverech zvolenou automatickou instalaci, se v rámci tohoto pravidelného “aktualizačního úterý” mohli se zlou potázat. Teď už vím, že to ovlivnilo jen domény, v nichž jsou coby doménové řadiče nasazeny Windows 2003 – Microsoft se zjevně připravuje na ukončení podpory a hotfixy patrně netestuje tak důkladně, jak by si zasloužily.
Prvním z prů…švihových hotfixů je KB3002657, který ošetřuje zranitelnosti ve službě NETLOGON. Druhým je pak hotfix KB3046049, který se snaží vyřešit problémy s tzv. FREAK attack. Zatímco na W2008/2008R2/2012/2012R2 se problém neprojevil, tak na na W2003 doménových řadičích se jednalo o smrtelnou kombinaci. O to záludnější, že se problém neprojevil na DC, ale na ostatních členských serverech domény. Tj. zatímco na DC jsme se přes RDP mohli připojit, na W2008-based Exchange 2010 už nikoliv – dokud jsme ze zoufalství nepřekonfigurovali RDP Security Level na RDP-based security.
Co se týče Outlooku, otestoval jsem si, že RPC over HTTPS (neboli Outlook Anywhere) přestal fungovat jak z Outlooku 2007, tak 2010 a dokonce i 2013. A naopak napřímo napojený Outlook 2007 přes MAPI jel jako z praku. Takže bylo evidentní, že je to problém na serveru a díky Exchange proxy funkci musí jít o o něco související s HTTPS, certifikáty, potažmo NTLM či Kerberos autentizací. Proto jsem si nakonec sestavil výpis všech hotfixů, které byly na servery v posledních dvou dnech automaticky nainstalovány, a začal jsem hledat v MSKB, co konkrétně se snaží opravit. Podezřelé se mi zdály dva – ty, které jsou uvedeny v předchozím odstavci. Nakonec jsem začal googlit na téma těchto čísel a “problem” a konečně jsem našel, co jsem hledal – podobného zoufalce, který napsal příhodně napsaný článek KB3002657 breaks everything! Teď koukám, že autor se trochu prospal a doplnil stránku o mnoho dalších informací, logů. Přibylo zde taktéž mnoho dalších komentářů, z nichž vyplývá, že MS support diagnostikoval, že problémem je pouze KB3002657.
Pokud tedy máte doménový řadič s W2003, tomuto hotfixu se velkým obloukem vyhněte.