Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

O zalecanej aktualizacji KB2871690, która kładzie wirtualny Windows na łopatki

Wydawałoby się, że nie ma nic bardziej koszernego niż uruchamianie maszyn wirtualnych z systemem Windows na hypervisorach opartych o system Windows - w tym przypadku Hyper-V. Co będzie działać lepiej niż Windows wirtualizowany na Windows? Okazuje się jednak, że i tu zdarzają się problemy, o których nawet największym filozofom-sceptykom Microsoftu się nie śniło. Taki właśnie problem postanowiłem opisać, bo mimo że od jego ujawnienia mija już drugi miesiąc, to nadal brak jakiegokolwiek oficjalnego stanowiska czy artykułu KB z zaleceniem, jak go rozwiązać.

Rzecz jest niebagatelna. Nie dotyczy tylko wybranych, skomplikowanych konfiguracji sprzętowych ani nie chodzi tu o kompatybilność z rzadkim, specjalistycznym oprogramowaniem lub kombinacją włączonych usług. Scenariusz do odtworzenia problemu jest następujący: najnowszy Hyper-V 2012 R2 (lub Windows Server 2012 R2 bądź Windows 8.1 z Client Hyper-V), a na nim maszyna wirtualna Generacji 2 z systemem Windows Server 2012. Zakładam że problem pojawi się także na Windows 8, ale osobiście tego nie sprawdzałem. Jeśli ktoś chce sprawdzić, chętnie się dowiem ;-) Instalujemy system na maszynie wirtualnej, a po instalacji uruchamiamy Windows Update i instalujemy wszystkie zalecane poprawki - czyli te, które są domyślnie zaznaczone do instalacji i które i tak same się zainstalują, gdy skonfigurujemy usługę automatycznych aktualizacji.

Robimy restart i...na tym żywot tego serwera się kończy. System wpada w pętle restartów z komunikatem, że instalacja poprawek się nie powiodła. Po godzinie i kilkunastu restartach system wstaje, ale jeśli skonfigurowaliśmy aktualizacje automatyczne, przy następnej okazji znowu spróbuje zainstalować poprawki, co skutkować będzie identycznym efektem i godziną restartowania. Ostatecznie nie zainstalujemy już nigdy żadnych nowych poprawek, tylko będziemy mieli codziennie restartujący się i ponawiający instalację system.

Diagnoza? W dzienniku zdarzeń brak rozsądnych informacji. Mamy tylko wpisy mówiące o tym, że instalacja większości z obecnie oferowanych 75 aktualizacji nie powiodła się z powodu błędu 800F0922. Ten błąd po kilku chwilach googlowania prowadzi do uszkodzonego magazynu Windows Update, ale nawet po jego zresetowaniu (co jest dość upierdliwe) problem występuje dalej. Zresztą, przecież przed chwilą zainstalowaliśmy czysty Windows - co też miało by się uszkodzić?

Okazuje się, że winna jest jak zwykle jedna aktualizacja: KB2871690 z grudnia 2013, która dotyczy UEFI i Secure Boot. Wycofuje ona dziewięć podpisów cyfrowych dla modułów UEFI, które z jakiegoś powodu nie są już uznawane przez Microsoft za bezpieczne. Sęk w tym, że w maszynach wirtualnych Generacji 2 pod Hyper-V 2012 R2 funkcja Secure Boot jest domyślnie włączona. Instalacja tej aktualizacji zawsze zakończy się tu błędem, choć treść tego błędu pozostawia wiele do życzenia. W Internecie nie ma zbyt wielu informacji na ten temat. Jeśli nie znamy numeru KB i nie wiemy o co pytać, spędzimy długie godziny na błądzeniu w poszukiwaniu rozwiązania. Zawsze można też bawić się w instalowanie 75 aktualizacji jedna po drugiej, aby sprawdzić, która jest odpowiedzialna za całe to zamieszanie.

Rozwiązanie problemu, gdy już problem dokładnie poznamy, jest proste. Najlepiej w ogóle nie instalować tej poprawki i ukryć ją, aby nie była instalowana automatycznie w przyszłości. Gdy już ją zainstalowaliśmy i mamy system w pętli restartów, możemy w opcjach maszyny wirtualnej wyłączyć Secure Boot, co umożliwi dokończenie instalacji i poprawną pracę systemu.

Najdziwniejsze jest to, że większość wątków na forach Microsoftu na ten temat pozostaje albo bez odpowiedzi, albo z odpowiedziami kompletnie nietrafionymi. Nie znalazłem żadnej wypowiedzi techników Microsoftu na forum ani żadnego artykułu KB, który opisywałby problem z maszynami w Hyper-V i sugerował rozwiązanie. Bądź co bądź obecnie, i to już od dwóch miesięcy, w domyślnej konfiguracji Windows Server 2012 na Hyper-V 2012 R2 po prostu nie działa. Zespół Microsoft Security Response Center we wpisie na Twitterze z końca grudnia zapewniał, że nie słyszał o żadnych problemach. Naprawdę? Jakoś trudno mi sobie to wyobrazić. Czyżby nikt najnowszego Hyper-V do wirtualizacji nie używał?... ;-) 

windows oprogramowanie serwery

Komentarze

0 nowych
tomeeek64   10 #1 14.02.2014 17:29

Wczoraj po instalacji lutowych aktualizacji na Windows 8.1 miałem ciekawe doświadczenia. Komputer urucchomił się normalnie. Myślę - wszystko jest OK. Uruchamiam komputer ponownie za kilkadziesiąt minut. Jakież wielkie było moje zdziwienie, gdy... zaczął się instalować system Windows 8. Pokazywały się powitalne teksty i zmieniające kolor tło. Po zainstalowaniu nie można było niec zrobić - żadnego kafelka, programu, aplikacji Modern UI. Automatycznie zalogowało mnie na moje konto Microsoft i... przestał być wymagany PIN/hasło do zalogowania się do komputera. Wymusiłem wyłączenie przyciskiem zasilania (nie dało się inaczej). System uruchamiał się chyba ze 20 minut, ale wszystkie dane, programy i konfiguracja wróciły do stanu sprzed aktualizacji (aktualizacje pozostały zainstalowane). Dziwna sytuacja.

dariusz.klos   3 #2 14.02.2014 17:37

Dlatego też od zamierzchłych czasów rolą admina powinna być analiza poprawek, które się instaluje w systemie zwłaszcza serwerowym. Czynię osobiście to zawsze odkąd w NT 4.0 pewna poprawka posadziła mi nie maszynę wirtualną ale fizyczną. Jak to się mówi " tylko prawdziwi twardziele nie robią kopii bezpieczeństwa". Można by napisać też przezorny zawsze ....normalnie wychodzi do domu:)

Pozdrawiam wszystkich

dariusz.klos   3 #3 14.02.2014 17:42

@Docent dziękuję za dobry artykuł.

  #4 14.02.2014 19:29

"Dlatego też od zamierzchłych czasów rolą admina powinna być analiza poprawek, które się instaluje w systemie zwłaszcza serwerowym. Czynię osobiście to zawsze odkąd w NT 4.0 pewna poprawka posadziła mi nie maszynę wirtualną ale fizyczną. "

Serio? Ja używam linuxa, i na wszystkich serwerach aktualizuje system kiedy tylko mam na to ochotę, nie martwiąc się o nic. Nigdy jeszcze nie było żadnych kwiatków :) Na PC podobnie.

Shaki81 MODERATOR BLOGA  38 #5 14.02.2014 19:59

Kurde to ja coś musiałem spieprzyć, bo u mnie wszystkie aktualizacje wgrane i tego problemu nie ma. No chyba, że jakaś poprawka mi utknęła. Muszę to sprawdzić, bo trochę się boje skutków takiego czegoś.

mktos   10 #6 14.02.2014 20:12

Dobrze, że obawiałem się używania Gen2 i mam tylko maszyny Gen1 ;-)

zakk87   7 #7 14.02.2014 21:02

dlatego pierwszą rzeczą po instalacji windowsa jest wyłączenie usługi windows update. Nie lubię, nie mam czasu na jakieś KB.

Over   9 #8 14.02.2014 21:37

Aktualizacje na Windowsie przewąznie mają na celu poprawienie bezpieczeństwa ale często jest to kosztem "szybkości" systemu (mam na myśli zwykłe windowsy a nie WinSerwer) ;)

xomo_pl   21 #9 14.02.2014 21:38

z tego między innymi względu mam wyłączone automatyczne aktualizacji na wszystkich sprzętach i gdy upewniam się, że żadna "niespodzianka" na mnie nie czeka po wgraniu pozwalam Windows Update je pobrać...

ximian   1 #10 14.02.2014 22:41

@dariusz.klos
Wina Microsoftu
W Debianie (testowym) ciężej by było, bo oprogramowanie trafia po przetestowaniu (jak coś nie działa, to jest migracja wstrzymywana)

StarterX4   10 #11 14.02.2014 22:49

Ten MicroShit robi to celowo by ludzie kupowali nowe kopie WinGrozy a MicroShit zarabiał grube dolary. lepiej instalować tylko ważne aktualizacje.

DjLeo MODERATOR BLOGA  18 #12 14.02.2014 22:52

No i "u mnie działa" straciło ważność w ustach Docenta ;)

flatplanet   3 #13 14.02.2014 23:49

A można było zrobić backup... W hyper-v to proste do bólu...

stasinek   11 #14 14.02.2014 23:54

Kto pod kim dołki kopie ten sam w nie wpada uefi f i fi fi

  #15 15.02.2014 00:12

A wystarczyło przeczytać biuletyn i sprawdzić, że taki problem może wystąpić - jasno zalecają wyłączenie modułów UEFI przed instalacją poprawki.

saturno   10 #16 15.02.2014 01:42

@stasinek | 14.02.2014 23:54
He he ;<)
Miałem miałem napisać kto mieczem wojuje od miecza ginie, patrze a tu już jest coś w tym stylu.

  #17 15.02.2014 09:31

Przejdź na Red Hat Enterprise Linux Server

vera109   9 #18 15.02.2014 12:26

Niestety po roku używania Windows 8.x po czystych jak i upgrade'owanych instalacjach i obecnosiach na maszynach wirtualnych stwierdzam ze co raz mniej mi się system podoba. Fajne użyteczne rzeczy dzialaja natomiast uwydatniają się bug'i rodem z c64. miliony niedorobionych pierdół. niby nic ale jak komplikuje zycie. swiadczy to tylko o niedbalstwie.

bachus   20 #19 15.02.2014 13:21

@vera109: wszystko jest utrudnione, namotane, nawet durny safe-mode. Co do teamu Hyper-V i reszty "międzymordzia" do Windowa - tam jest niezły burdel, oby nie spieprzono dobrego hypervisora.

Docent REDAKCJA  14 #20 15.02.2014 16:20

@kili:

To ciekawe co mówisz, bo ja w biuletynie widzę zapewnienia, że te moduły prawdopodobnie nie są dostępne publicznie i że nie ma się czego obawiać, a już na pewno nie tego, że problem dotknie Hyper-V autorstwa samego Microsoftu (mowa jest o modułach third party).

@Shaki81:

Pewnie masz maszyny Generacji 1.

@flatplanet:

Backup czego? :) czystego systemu? ;)

Shaki81 MODERATOR BLOGA  38 #21 16.02.2014 00:15

@Docent - rzeczywiście mój błąd - mam maszyny 1 Generacji i tutaj tego problemu nie ma. Sorki za wprowadzenie zamętu.

Jednakże informuje innych, że przy maszynach pierwszej generacji problem nie występuje, sprawdzone organoleptyczne:)

  #22 17.02.2014 10:17

to ktoś używa Hyper-V do wirtualizacji??

  #23 17.02.2014 20:46

Ja już dawno nauczyłem się, że aktualizacje można wgrywać po upływie min. 2 tygodni od ukazania się. Przez ten czas przemieli wszystkie błędy i problemy i jesteśmy wolni od niespodzianek bo wszystkie kłopotliwe aktualizacje albo są odznaczane z domyślnych albo są wycofywane. Nie, nie robię za admina. Pytanie co groźniejsze: dodatkowe 2 tygodnie z "krytyczną" luką czy natychmiastowe wysypanie się systemu i kilka... często dziesiąt godzin w plecy. Na szczęście to nie mój problem ;-).

p.s. Cześć wszystkim. pierwszy wpis :-)

  #24 20.02.2014 14:52

Miałem tak samo z tą aktualizacją KB 2871690.Nie mogłem wprowadzić aktualizacji przez ok 1 mca.Kod błędu 800F0922.windows 8.Ile ja się naszukałem w necie,a nie jestem bardzo obcykany w naprawie windowsa.I tak jak Kolego napisałeś,problem się zaczął na początku stycznia 2014.Trafiłem na Twój artykuł i miałem tą aktualizację w zainstalowanych,a Update automatycznie jeszcze raz chciała mi ją zainstalować.I od tego czasu niepowodzenie konfigurowania aktualizacji.Odinstalowałem ją,a następnie podczas następnego pobierania ukryłem .Problem zniknął,wszystkie się aktualizacje pobierają i konfigurują.DZIĘKI ZA POMOC.POZDRAWIAM WSZYSTKICH.

Dimatheus   22 #25 06.03.2014 18:22

Hej,

Nie ma to jak wypuszczać poprawkę bez wcześniejszego sprawdzenia jej poprawności działania w kilku, choć najbardziej podstawowych scenariuszach.

Pozdrawiam,
Dimatheus

  #26 21.05.2014 11:45

Od kilku tygodni miałem ten problem, ale dzięki za artykuł. Po odznaczeniu secure boot wirtualki od razu zaczytały aktualizacje. WSUS zapętlał wcześniej i restartował.

Pozdrawiam
SK

  #27 03.01.2015 20:09

dobry tekst.
niestety, u mnie nie mogę znaleźć rozwiązania, mam świeży windows 8.1 zainstalowane 61 aktualizacji, ale nie ma tej KB2871690.
Nie mogę właczyć hiper v.
po odznaczeniu ptaszka w "Włączanie funkcji" coś tam jest instalowane, restart dwukrotny ale nic się nie pojawia, nie ma consoli hiper a i ptaszka tez nie ma, czyli wie ze się nie zainstalowało, w biosie wszystko ok, parametry też ok , wszystko potwierdzone

  #28 25.01.2015 03:21

@sobótka (niezalogowany):U mnie dokładnie to samo, przy restartach komunikat "Nie można zainstalować funkcji trwa wycofywanie zmian". Niestety, nie mogę znaleźć nic na ten temat w necie.
Pozdrawiam!

  #29 14.06.2015 22:08

Potwierdzam, postawiłem na nowo Windows 8 i wyskoczyło 161 aktualizacji do pobrania. Ze 161 pozostało 13, a w nich KB2871690. Tych 13 aktualizacji razem nie dało się już zainstalować (restarty komputera). Instalując każdą z osobna 12 zainstalowałem, a ta nieszczęsna KB2871690 została z błędem (aktualizacja zakończona niepowodzeniem). Dlatego zalecam od razu ukryć tą aktualizację, żeby później nie mieć takiego problemu.

  #30 25.06.2015 10:41

Zainstalowałem na Hyper-V 2012 R2 maszynę wirtualną 1 generacji (chodzi o Windows Serwer 2008 SP2) na DELL PowerEdge R520 (na mocnej maszynie)
Przydzieliłem 4 procesory i ustawiłem na pamięć dynamiczną ze startem 4GB RAM. Mimo tego, że jest to jedyna maszyna wirtualna na tym serwerze to Windows 2008 Sp2 strasznie muli. Takie systemy na wcześniejszych hipervisorach sobie lepiej radziły. Jeżeli chodzi o aktualizację to jest problem z aktualizacją IE9.