Eines der Lieblingstools der Admins ist ja die Remote Desktop Verbindung. So ist es auch bei mir (wenn es um die “guten Tools” geht ;-) ). Um so ärgerlicher ist es, wenn man ständig aus der Session fliegt und eine Fehlermeldung erhält die auf einen Verschlüsselungsfehler hinweist.

Because of an error in data encryption, this session will end.

 

Meist habe ich das Phänomen, wenn ich aus einer TS Session eine weitere Session starte. Ja, nicht sauber, aber manchmal nicht anders machbar.

Ein wenig Suchen brachte dann einen Erfolg, dass die Sessions stabil laufen.

Ich habe einen Registrierungsschlüssel gelöscht.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TermService\Parameters\Certificate

 

Das war es dann auch schon.

Vielleicht erspart euch das ein wenig Ärger…


 
Categories: ATE | Security

Beim Server 2003 SP2 (mit und ohne R2 Erweiterung) auf dem Terminal Server und Citrix installiert ist, kommt es zu einem Verhalten, das meiner Meinung nach ein Bug ist. Ich erkläre mal die Ausgangsituation:

Die Citrix Farm wird zur Vereinheitlichung parallel aufgebaut und die “alte” Farm bleibt in der alten Domäne. Die Migration der ca. 100 Citrix Server wär machbar, wurde aber vom Kunden nicht gewünscht. Der Zustand der Terminal Server Profile erklärt sich von selbst und diese sollten nicht konvertiert werden. Nach Inbetriebnahme der neuen Farmen, werden auch neue Profile erzeugt (getrennt nach Innen- und Außendienst).

In den GPOs haben wir die Cross Forest Policy Verarbeitung aktiviert, um die GPOs für die Citrix Farmen nutzen zu können. Weiterhin wurde per GPO das Überprüfen des Besitzes der Profile deaktiviert (Check Ownership).

Bisher ohne Probleme. Die ganz alten Terminal Server die noch auf Windows 2000 basieren machen genau das was sie sollen. Jeder User, der sich aus der neuen Domäne anmeldet, bekommt sein bekanntes (vorhandenes) Profil und kann Arbeiten.

Wenn man sich nun an einem Windows Terminal Server 2003 anmeldet, dann bekommt man immer ein temporäres Profil. Also haben wir uns das Verhalten mit dem File Monitor von Systernals angeguckt und festgestellt, dass die GPO abgearbeitet wird und der User auf das Profil der alten Domäne gelenkt wird. Zuerst fragt der Server, ob es ein Profil mit der neuen Domäne gibt. Die negative Antwort und die GPO veranlasst ihn nun das Profil der anderen Domäne zu nutzen, da ja das Präfix passt. Nach kurzer Aushandlung kommt nun aber Zugriff verweiger (Access denied). Alle User wurden mit SID History migriert, was den Zugriff auf die Ressourcen ermöglicht.

Trotz aller korrekten Einstellungen in den GPOs und den Userobjekten ist es nicht möglich das Profil zu nutzen. Einzige Möglichkeit dabei ist, dass man in den Sicherheitseinstellungen der Verzeichnisse die User aus der neuen Domäne aufnimmt. Dann ist selbstverständlich der Fehler nicht mehr da. Microsoft geht auch hier von einem Bug aus, obwohl dieser mit SP2 für Server 2003 behoben worden sein sollte.

Weitere Nachteil der Aufnahme der User ist, dass die Verarbeitung länger dauert. Bei einem Profil nicht so schlimm, nur tummeln sich bei den Farmen ca. 6500 User und da macht sich solch ein Umweg schon bemerkbar.

Vielleicht kann ich damit hilfreich sein, wenn ihr während einer Migration auf dieses Phänomen trefft. Es gibt nur diesen Workaround. An einer Lösung wird nun gearbeitet. Ich habe es auch noch nciht unter Server 2008 testen können.


 
Categories: ATE | Security | Software