Für einen Kunden musste ich kürzlich einen neuen Remotedesktopserver (ehemals Terminalserver) unter Windows Server 2008 R2 aufsetzen. Normalerweise stellt die Installation von Microsoft Office Produkten kein Problem dar, typischerweise werden Anwendungen auf einem Terminalserver immer über den Punkt “Anwendung auf dem Remotedesktopserver installieren” in der Systemsteuerung eingerichtet.

Für die Microsoft Office 2010 Standard Version verwendete ich das ISO Abbild aus Microsoft Volume Licensing Service Center mit der Bezeichnung OPEN_Office_2010_W32_German_MLF_X16-51947.iso. Zu meiner Verwunderung fragte aber der Installationsassistent von Office 2010 nicht nach dem Produktschlüssel, nach der Bestätigung des Licence Agreements ließ sich Office sofort ohne Problem installieren.

Natürlich musste die Software noch aktiviert werden. Eine sehr gute Anleitung fand ich im Office Deployment Support Team Blog in folgendem Artikel. Mit dem Aufruf der beiden Kommandos

cscript “%ProgramFiles%\Microsoft Office\Office14\ospp.vbs” /inpkey:<Produktschlüssel>

gefolgt von

cscript “%ProgramFiles%\Microsoft Office\Office14\ospp.vbs” /act

konnte ich das Produkt erfolgreich aktivieren:

Da ich nicht täglich Microsoft Office auf einem Terminalserver installiere, war das Verfahren für mich neu, weswegen ich das Vorgehen hier dokumentieren wollte. Dank des guten Artikels des Office Deployment Support Team Blogs kostete mich die Prozedur jedoch nur wenige Minuten.

Verwandte Beiträge:

1. Office 2010: Möglichst nur in 32-Bit-Fassung installieren
   Seit wenigen Stunden ist Office 2010 für MSDN- und TechNet-Kunden...
2. Gruppenrichtlinien für Office 2010
   Bereits seit zwei Wochen sind die ADM- und ADMX-Dateien verfügbar,...
3. Log Parser: Diagramme erzeugen mit Office 2007ff
   Log Parser, das mächtige Auswertungs-Werkzeug von Microsoft, wertet nicht nur...

Das Anmeldeverhalten ist im Vergleich zu einer „normalen“ Firma durchaus speziell: Zu jeder Schulstunde melden sich X Schüler an und am Ende wieder ab. Dabei konnte es vorkommen, dass die Anmeldung bei einem Schüler mehrere Minuten dauert (Ausreißer bis zu zehn Minuten), während das in Zeiten ohne Last bzw. mit wenig Last auch in 30-40 Sekunden vonstatten geht.

Netzwerk, CPU und Arbeitsspeicher auf den Terminalserver sind ausreichend dimensioniert und zeigen während der Lastzeiten keine beängstigenden Peaks. Der Fileserver wurde in Richtung maximal gleichzeitiger SMB-Verbindungen optimiert und die entsprechenden Einträge auf den Terminalservern gesetzt (MaxWorkItems, MaxMpxCt, MaxCmds).

Nachdem wir an einigen Stellen gesucht, optimiert und analysiert haben, haben wir uns sehr intensiv mit dem eigentlichen Anmeldevorgang beschäftigt.  Dazu haben wir das User-Debug Logging eingeschaltet (http://support.microsoft.com/kb/221833/en-us), um da auch was sehen zu können. Mit dem netten Freeware-Tool Policy Reporter (http://www.sysprosoft.com/policyreporter.shtml) wird das Log-File dann auch grafisch schön aufbereitet.

Zuerst ist uns aufgefallen, dass ca. 20 Sekunden beim Login draufgehen für Einstellungen am Internet Explorer. Nach einer kurzer Recherche haben wir dann ein passenden Hotfix gefunden: http://support.microsoft.com/kb/941158/en-us Dieses haben wir nun also runtergeladen und den entsprechenden RegKey gesetzt. Das hat zwar eine einzelne Useranmeldung beschleunigt, unser Grundproblem bestand aber immer noch.

Ein paar Analysen und Versuche später sind wir dann noch über eine Stelle im Log gestoßen, die im ersten Moment „nur“ 2,5 Sekunden dauerte. Der Eintrag lautete: „Successfully logged registry Rsop data“. Nachdem ich mich schlau gemacht hatte was da passiert und mal danach gegoogelt hatte fand ich eine Seite, auf der jemand nur kurz beschrieben hat, dass die Erzeugung des RSOP die Anmeldung verlangsamen kann.

Daraufhin war es ziemlich einfach zu finden wo man dem System abgewöhnen kann dies zu tun. Das geht über GPO und man findet es unter:

Computerkonfiguration -> Windows Einstellungen -> Administrative Vorlagen -> System -> Gruppenrichtlinien -> Protokollierung des Richtlinienergebnissatzes deaktivieren –> Aktivieren

Nach einem Update der GPO auf unserem Testsystem verbesserte sich die Anmeldezeit nun derart, dass 20 gleichzeitige Useranmeldungen nun 20-40 Sekunden dauern und keine 5 Minuten mehr. Eine einzelne Useranmeldung liegt nun bei ca. 5-10 Sekunden.

Verwandte Beiträge:

1. Windows 7/Server 2008 R2 Service Pack 1: Troubleshooting
   Leider gibt es mit dem Service Pack 1 für Windows...
2. Ziemlich lange
   Diese “Fehlermeldung” ist ja eigentlich keine Fehlermeldung, aber ich hatte...
3. Anmeldezeiten für AD-Benutzer per Skript ausgeben
   Seit jeher lässt Windows zu, für einen Benutzer Anmeldezeiten zu...

Lesen Sie in meinem aktuellen, zuerst im Windows Server 2008 R2 Remote Desktop Services Resource Kit erschienenen Blog-Artikel, wie durch das Setzen von Vollzugriff für Jedermann in der Registrierung standardmäßig vorhandene Schutzmechanismen ausgehebelt und auf Terminalservern Lauschangriffe oder Denial-of-Service-Attacken möglich werden:

Mandatory Profiles – Insecure by Default?

Verwandte Beiträge:

1. Hotfixes über RDP einspielen: Nur per Konsole
   Die Information ist nicht mehr ganz taufrisch, aber sie hat...
2. Terminalserver-Profileinstellungen in AD: Die ungenutzte Neuerung
   Mit Windows Server 2008 hat Microsoft einige neue Attribute in...
3. Delprof2: Automatisiertes Löschen von Benutzerprofilen
   Delprof2 ist der inoffizielle Nachfolger von Microsofts Delprof, das mit...

Nur leider hat das ein paar Haken: Der Protected Mode funktioniert nämlich in einer ganzen Reihe von Situationen nicht. Dazu gehört dummerweise auch der Einsatz auf Terminal Servern mit Citrix – und anscheinend auch mit dem bordeigenen RemoteApp. Ruft man dort den Adobe Reader X auf, so meldet er beim Start:

Update 24. März 2011: Bent Schrader hat herausgefunden, dass in Version 10.0.1 der beschriebene Workaround nicht mehr notwendig ist.

[Adobe Acrobat Reader X auf einem Terminalserver - Bent's Blog]
http://bent-blog.de/windows/terminalserver/adobe-acrobat-reader-x-auf-einem-terminalserver/

Adobe dokumentiert diese Einschränkungen auch auf seiner Webseite. Dort sind allerdings die Remote Desktop Services (früher: Terminal Services) von Windows 2003 bis 2008 ausdrücklich als kompatibel angegeben. Zumindest im Zusammenhang mit RemoteApp tritt der Fehler allerdings auch auf, nicht nur mit Citrix.

[Protected Mode Troubleshooting | Adobe Reader]
http://kb2.adobe.com/cps/860/cpsid_86063.html

In seiner FAQ gibt Adobe lapidar an, man könne den Protected Mode auch über die Registry abschalten – welchen Key man dafür verwenden muss, darf der geneigte Admin dann selbst rausfinden. Auch sonst sind diese FAQ leider eher ein Eingeständnis, dass man den neuen Modus nicht so richtig toll implementiert hat.

[Protected Mode FAQ - Security and Information Assurance - Adobe Learning Resources]
http://learn.adobe.com/wiki/display/security/Protected+Mode+FAQ

Den Protected Mode zentral abschalten – GPP-Methode

Dabei ist es gar nicht so schwer, den Protected Mode zentral abzuschalten. Da es sich grundsätzlich aber um eine sinnvolle Funktion handelt, empfehle ich das folgende Vorgehen nur für Umgebungen, in denen der neue Modus ein Problem darstellt – eben beispielsweise RemoteApp-Umgebungen.

Der zu ändernde Key in der Registry ist folgender:

[HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\10.0\Privileged]
"bProtectedMode"=dword:00000000

Dieser Wert muss auf 0 (null) stehen, damit der Protected Mode abgeschaltet ist. Nun helfen die GPP (Group Policy Preferences) dabei, diese Einstellung auf alle RemoteApp-User auszurollen. Man suche sich also eine Gruppenrichtlinie (GPO) heraus, die für die betreffenden Benutzerkonten gilt (bzw. man erzeuge eine neue). Dort öffnet man die Benutzerkonfiguration/ Einstellungen/ Windows-Einstellungen/ Registrierung. Hier fügt man ein neues Element hinzu und trägt dort Folgendes ein:

Speichern, GPO schließen, fertig. Eventuelle getrennte Benutzersitzungen auf dem RemoteApp-Server muss man nun einmal zurücksetzen, damit die User sich tatsächlich neu anmelden. Danach sollte die GPP-Einstellung greifen und der Reader ohne Protected Mode starten.

Prüfen kann der Benutzer dies über die Einstellungen (im Menü “Bearbeiten”). Dort ist auch die Stelle, wo er die Einstellung manuell ändern kann.

Den Protected Mode zentral abschalten – ADM-Methode

Norbert Fehlauer hat folgende ADM-Datei geschrieben. Damit lässt sich der Vorgang auch über “klassische” Gruppenrichtlinien ausführen.

Update 9.12.2010: Christoph Langer hat uns auf einen Fehler in der ursprünglichen ADM-Version hingewiesen. Die unten stehende Fassung ist korrigiert.

; ADM Template Author: Norbert Fehlauer

Class User
    CATEGORY !!CAT_AdobeReaderX

        POLICY !!Pol_ProtectedModedeaktivieren
            #IF VERSION >= 4
                SUPPORTED !!Supportedon_AdobaReaderX
            #ENDIF

            EXPLAIN !!Expl_AdobeProtectedMode
            KEYNAME "Software\Adobe\Acrobat Reader\10.0\Privileged"

            PART !!Part_ProtectedModedeaktivieren Checkbox
                VALUENAME "bProtectedMode"
                DEFCHECKED
                VALUEON NUMERIC 0

                VALUEOFF NUMERIC 1

            END PART

        END POLICY ;Pol_ProtectedModedeaktivieren

    END CATEGORY ;CAT_AdobeReaderX

[STRINGS]

CAT_AdobeReaderX="Adobe Acrobat X"
Expl_AdobeProtectedMode="Für weitere Informationen siehe: http://learn.adobe.com/wiki/display/security/Protected+Mode+FAQ"
Part_ProtectedModedeaktivieren="Protected Mode deaktivieren"
Pol_ProtectedModedeaktivieren="Protected Mode deaktivieren"
Supportedon_AdobaReaderX="mindestens Adobe Reader X"

Verwandte Beiträge:

1. XP Mode: Ein Blick hinter die Kulissen
   Auf dem VPC-Blog im TechNet gibt es einen hübschen Artikel,...
2. Eigene Patches über WSUS ausrollen
   Die Windows Server Update Services (WSUS) verteilen in vielen Unternehmen...
3. Terminalserver-Profileinstellungen in AD: Die ungenutzte Neuerung
   Mit Windows Server 2008 hat Microsoft einige neue Attribute in...

Der “Remote Desktop Connection Manager” (aktuell in Version 2.2) erlaubt es, RDP-Verbindungsinformationen in einer übersichtlichen, selbst definierten Baumstruktur anzuordnen. Dabei kann man Server nach verschiedenen Kriterien gruppieren; die Gruppen können sogar verschachtelt sein. Für jede Gruppe lassen sich die Verbindungsdaten vorgeben, sodass sie nach unten vererbt werden. Wer also in einer Domäne mit einem einheitlichen Adminkonto arbeitet, braucht dies nur einmal vorzugeben und wird dann automatisch damit eingeloggt.

Dabei kann man Untergruppen oder einzelne Server auch gezielt mit anderen Anmeldeinformationen versorgen. Alternativ kann man auch ad hoc eine RDP-Verbindung mit einem anderen Anmeldekonto anfordern. Ganz nebenbei erlaubt der RDCM es auch, Sessions für eine ganze Servergruppe gleichzeitig zu öffnen. Offene Verbindungen innerhalb einer Gruppe zeigt das Werkzeug als Thumbnails an – natürlich mit Live-Preview. Ein Klick auf den Titel vergrößert das Fenster.

Damit noch lange nicht genug – die Featureliste des Programms ist beeindruckend (mehrere Monitore, Abmeldefunktion, Übersicht offener Verbindungen …). Der Download ist kostenlos; das Programm läuft auf Windows-Systemen von XP bis 7 bzw. Windows Server 2008 R2. Wer XP oder Windows 2003 einsetzt, muss allerdings den RDP-Client auf Version 6.1 aktualisieren. Die Funktionen der neuen Clientversion kann man auch nutzen, z.B. Sound- und Grafikoptimierungen.

[Download details: RDCMan]
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=4603c621-6de7-4ccb-9f51-d53dc7e48047

Verwandte Beiträge:

1. Tools4Net: Kostenlose Tools für Windows-Admins
   Auf seiner Seite tools4net.de stellt Manfred Paleit einige Werkzeuge für...
2. Excel: Admins unbekannter Liebling
   Excel ist ein beliebtes Werkzeug für vielerlei Aufgaben. Am meisten...
3. Wie Hauptbenutzer zu Admins werden
   Frage: Kann der Hauptbenutzer das Konto des Administrators löschen oder sein Kennwort...

Laut Dokumentation im MSDN sollten die neuen Attribute auch bereits in Verwendung sein:

[2.3 Directory Service Schema Elements Used by Terminal Services Terminal Server Runtime Interface]
http://msdn.microsoft.com/en-us/library/cc669440(PROT.10).aspx

Dort heißt es (Stand Anfang Januar 2010):

msTSHomeDirectory
This attribute specifies the home directory for the user. Each user on a terminal server has a unique home directory. This ensures that application information is stored separately for each user in a multi-user environment.

[…]

msTSProfilePath
This attribute specifies a roaming or mandatory profile path to use when the user logs on to the terminal server. The profile path is in the following network path format: \\servername\profiles folder name\username.

Wer nun aber versucht, diese neuen Attribute zu nutzen, stellt fest: Steht nix drin. Auch ein direkter Versuch klappt nicht: Ein TS-Profil beim User anlegen, dann mit ADSI Edit nachsehen: msTSProfilePath ist leer.

Der Grund ist einfach, aber ernüchternd: Zwar sind die neuen Attribute bereits definiert und dokumentiert – aber in Wirklichkeit nutzt Windows sie nicht, weder in Windows Server 2008 noch im R2. Derzeit gibt es auch noch keine Aussage, wann der Wechsel tatsächlich vollzogen wird. Es gibt nur die Vorbereitung dafür …

Einstweilen bleibt also nur der seit Windows Server 2003 nutzbare Weg über das “alte” API.

[faq-o-matic.net » Wie kann ich die Terminal-Server-Einstellungen im AD verändern?]
http://www.faq-o-matic.net/2003/11/17/wie-kann-ich-die-terminal-server-einstellungen-im-ad-veraendern/

[IADsTSUserEx Interface (Windows)]
http://msdn.microsoft.com/en-us/library/aa380823(VS.85).aspx

[IADsTSUserEx::TerminalServicesProfilePath Property (Windows)]
http://msdn.microsoft.com/en-us/library/dd919966(VS.85).aspx

(Im letzten Artikel findet sich der gängige Code-Aufbau für VBScript ganz unten.)

Verwandte Beiträge:

1. Wie kann ich die Terminal-Server-Einstellungen im AD verändern?
   Wie so oft, muss auch beim Bearbeiten der Terminal-Server-Attribute in...
2. Terminalserver: Den Protected Mode des Adobe Reader X abschalten
   Adobe hat vor einigen Tagen die neue Version 10 seines...
3. Was muss ich bei der Schema-Erweiterung beachten?
   Vieles! Das Ändern des AD-Schemas ist ein schwerwiegender Eingriff, der...

Dieser Artikel im PDF-Format beschreibt eine konkrete Implementierung der Terminaldienste für den sicheren Zugriff durch Benutzer, die sich außerhalb des Unternehmensnetzwerks befinden.

Verwandte Beiträge:

1. Terminal Server 2008 einrichten
   Als Grundlage eines TS 2008 dient in diesem Beispiel ein...
2. RDP-Neuerungen unter Windows Server 2008
   Für die tägliche Arbeit der Administratoren gehört mittlerweile die RDP-Verbindung...
3. NAP – Network Access Protection
   Mit NAP, der Network Access Protection, möchte Microsoft die Sicherheit...

Voraussetzung für einen funktionierenden Terminalserver 2008 sind die Installationen vom IIS7 und dem Network Policies und Access Service. Zur Nutzung des TS Web sind Clients mit Windows XP SP3 oder Vista SP1 erforderlich. Der Webdesktop benötigt das letzte RDP6.0 Update bei XPSP2 und Server 2003. Dazu am Ende nochmal Hinweise. Ebenfalls ist in diesem Beispiel eine interne Zertifizierungsinstanz vorhanden, um Computer wie Webserverzertifikate automatisiert zur Verfügung zu stellen.

Die Screenshots sind teilweise nachträglich anonymisiert worden, da es sich um eine Produktivinstallation und deren Dokumentation handelt.

Installation IIS7

Bei der Installation des IIS ist nichts Besonderes zu beachten.

Installation Network Policies und Access Service

Die Installation einfach beenden. Wichtig ist, dass kein NAP aktiviert wird.

Installation Terminal Services

Im Servermanager die Rollen hinzufügen und mit "Weiter" bestätigen. Die Serverrollen lassen sich durchaus auf verschiedene Server verteilen, wir gehen hier von einem Server aus.

Für den TS 2008 werden folgende Services zur Installation mit angeboten.

• Terminal Server ( Zwingend erforderlich)
• TS Licensing (Einer pro Domäne erforderlich)
• TS Session Broker (Zur Verwaltung von Sessions in Serverfarmen)
• TS Gateway (Das Gateway, erforderlich 1 pro Farm)
• TS Web Access (Erforderlich zur Bereitstellung von TS Applikationen via WEB Interface)

Für unseren TS 2008 haben wir uns entschieden, alle Dienste bis aus den Session Broker zu installieren. Alle vier Services anhaken und mit "Weiter" bestätigen.

Der nächste wichtige Punkt ist die Authentifizierungsmethode. Um auch älteren Systemen den Zugriff auf den TS zu ermöglichen wird kein NLA aktiviert.

Als Lizensierungsmethode wählen wir die Lizensierung per User, da es öfter vorkommt, dass User andere fremde Geräte benutzen und somit mehr Lizenzen per Device nötig werden würden.

Als nächstes wird nun festgelegt, welche User/Gruppen auf den TS zugreifen werden können. Diese werden der lokalen Remote-Desktop-Benutzergruppe hinzugefügt, dort kann man später auch User und Gruppen hinzufügen. Die Gruppe der Administratoren ist immer hinzugefügt und kann während der Installation nicht entfernt werden.

Nun muss der Bereich gewählt werden, der vom Lizenzdienst abgedeckt werden soll. Da der Server domänenweit gelten soll wird „diese Domäne“ gewählt. (Der Screenshot ist er in einer VHD nachgestellt worden und zeigt hier nur Workgroup als mögliche Option an.)

Zur Konfiguration öffnen wir den Server Manager und springen in die Rolle Terminal Services.

Beginnend werden wir das Zertifikat hinzufügen. Im TS RemoteApp Manager gibt es in der rechten Aktionsleiste den Punkt Digitale Signatur, diesen öffnen wir und fügen das gewünschte Zertifikat, welches ein Computerzertifikat sein muss, hinzu.

Im Reiter Terminal Server tragen wir nun den FQDN des Servers ein und aktivieren die Serverauthentifizierung und den RDP im TS Web Access.

Im Reiter TS Gateway aktivieren wir den Gateway und geben unsere auf dem ISA-Server eingerichteten Daten ein, um die Veröffentlichung auf dem ISA Server zu nutzen und den TS per Web zugänglich zu machen. Also etwa TS.FIRMA.DOMAIN

Nach der Konfiguration der Zertifikate und des Gateways kann man nun mit der Einrichtung der zur Verfügung gestellten Programme beginnen. In der rechten Aktionsleiste findet sich der Punkt RemoteApp hinzufügen. Dieser öffnet einen Assistenten, um auf dem Server installierte Software als Webapplikation zu nutzen. Die gewünschten Programme anhaken und dem Assistenten folgen.

Im Terminal Server Manager wird dann der Server mit und ohne Domainsuffix eingetragen, um DNS-Probleme zu vermeiden. Unter der Terminal Service Konfiguration findet man den Lizenz Dienst, bei dem noch die vorhandenen CALs eingerichtet werden müssen. Hierzu dem Assistenten folgen und die CALs aktivieren.

Anschließend sieht die Diagnose wie folgt aus.

Im Service Manager ist dann unser TS2008 zu finden und alle Verbindungen, die aktuell bestehen, werden mit Verbindungsart und User dargestellt. Mit Hilfe des Managers können wir auch Verbindungen trennen oder verbundenen Users Informationen zukommen lassen. Sind alle Einstellungen getroffen ist der Terminal Server 2008 bereit für die Inbetriebnahme und es empfiehlt sich lediglich noch die Administrator Gruppe aus der Remote User Group zu entfernen um die größtmögliche Sicherheit zu erreichen.

Die Nutzung der RemoteApp Webdienste Seite ist erst ab XP SP3, Vista SP1 und Server 2008 möglich. Das TS Web Access und das TS Gateway sind ab auch unter XP SP2 und Server 2003 SP2 mit dem letzten RDP Update (KB925876) möglich, da es dort bereits die Funktion des TS Gateways gibt.

Verwandte Beiträge:

1. Wie kann ich die Terminal-Server-Einstellungen im AD verändern?
   Wie so oft, muss auch beim Bearbeiten der Terminal-Server-Attribute in...
2. USB Stick für Vista/7/2008 bootfähig machen und MultiBoot einrichten
   Die Installation von einem USB Stick hat diverse Vorteile: Sie...
3. RDP-Neuerungen unter Windows Server 2008
   Für die tägliche Arbeit der Administratoren gehört mittlerweile die RDP-Verbindung...

Verwandte Beiträge:

1. sa-Konto absichern
   Eigentlich ist es seit Jahren bekannt …… aber immer wieder...
2. Absichern der Willkommensmeldung ("HELO") in Exchange
   Eine der häufigsten Schwachstellen in einem Unternehmensnetzwerk ist immer der...
3. Warum kann ein Benutzer Dateien ändern, für die er keine Rechte hat?
   Benutzer können Dateien löschen, auf die sie keinen Zugriff haben....

Warum das so ist, erläutern zwei Artikel sehr schön:

[TechNet Team Blog Austria : Hotfix Installationen, Remote Desktop, Reboot - und keine Verbindung mehr]
http://blogs.technet.com/austria/archive/2008/06/09/hotfix-installationen-remote-desktop-reboot-und-keine-verbindung-mehr.aspx

[Ask the Performance Team : Hotfix Installs, Remote Desktop and the Reboot that wasn't ...]
http://blogs.technet.com/askperf/archive/2008/03/18/hotfix-installs-remote-desktop-and-the-reboot-that-wasn-t.aspx

Verwandte Beiträge:

1. Hyper-V Dynamic Memory: Reservierung für den Parent
   Toni Pohl vom österreichischen TechNet-Team weist auf einen Umstand hin,...
2. Bluescreen in Hyper-V 2.0: Hotfix einspielen
   Auf ein Problem mit Hyper-V 2.0 auf bestimmten Intel-CPUs macht...
3. Fröhliches Konvertieren P2V und V2V – kostenlos
   Wer vorhandene physische Server in virtuelle konvertieren möchte (vulgo “virtualisieren”)...