..:: Dippelschisser ::..

Aufgrund einer aktuellen Anforderung habe ich jüngst eine GPO (Gruppenrichtlinie) unter Windows Server 2008/2003 definiert, welche nur für Server selbst gelten soll. Ziel ist es, dass die Benutzer den Server in einer Remote-Desktopsitzung nicht mehr herunterfahren können.

Hierzu wird eine einfache neue Gruppenrichtlinie definiert die folgende Einstellungen hat:

- Benutzerkonfiguration
- Richtlinien
- Startmenü und Taskleiste
- Befehle “Herunterfahren, “Neu starten”, Energiesparen” und “Ruhezustand” entfernen und Zugriff darauf verweigern”-> aktiviert
- Option Abmelden dem Menü “Start” hinzufügen -> aktiviert

Diese neue Gruppenrichtlinie dann dem Standort zuweisen. Um jedoch nur Server damit zu konfigurieren, brauchen wir noch einen WMI-Filter. Diesen legen wir mit einem Rechten Mausklick auf WMI-Filter-> Neu… an.

Als Bezeichnung geben wir eine eindeutig Bezeichnung an, die klar anzeigt, dass es sich um einen Filter handelt, der nur die Server ausgibt. Zum Beispiel “Server only”

Als Namespace lassen wir “root\CIMv2″
Als Abfrage tragen wir folgenden SQL Befehl rein:

select * from Win32_OperatingSystem where ProductType=”2″ OR ProductType=”3″

Der ProductType gibt dabei an, ob es sich um einen Arbeitsplatz, einen Server oder einen Domaincontroller handelt:

1: Work Station (Windows XP, Windows Vista, Windows 7 etc)
2: DomainController (Windows Server 2000, Windows Server 2003, Windows Server 2008, Windows Server 2011 etc.)
3: Server (ohne Domaincontrollerfunktion)

Diesen WMI-Filter dann natürlich noch der Gruppenrichtlinie zuordnen.

Vergangenen Freitag hatten wir einen VorOrt Termin am Zweitstandort eines Kunden. Dieser beschwerte sich in den letzten Woche mehr und mehr über die überaus schlechte Verbindungsqualität des Standortes über das VPN zu seinem Hauptstandort.

Kurz abgerissen besteht folgende Konfiguration:

1) Hauptstandort hat Internetverbindung über Vermieter (größeres Facharztzentrum mit Internet über angebundene Klinik)

2) Hauptstandort wählt sich per VPN auf unserem zentralen VPN Server ein

3) Zweitstandort (ca. 40 km entfern) wählt sich ebenfalls auf unserem zentralen VPN Server ein

4) VPN Server routet traffic zwischen den Standorten

5) Mitarbeiter im Zweistandort wählt sich per RDP auf dem zentralen Terminalserver ein und arbeitet dort logisch am Hauptstandort. Vorteil: Die Daten müssen über’s Internet übertragen werden.

Bisher lief auf den Computern des Kunden das von der Klinik kostenfrei zur Verfügung gestellte McAffee. Dieses ist ja nicht gerade für eine optimale Performance berühmt. Dass es aber für eine schlechte VPN Verbindungsqualität sorgt war mir neu. Also dachte ich hier zuerst nicht an ihn als Ursache.

Die Symptome

Sporadisch kam es vor, dass die RDP Sitzung derat hing, dass man einen Text in der Länge dieses Eintrages schrieb und nach dem letzten getippten Wort in Ruhe in die Pause gehen konnte. Nach etlichen Minuten war Word dann auch fertig mit dem schreiben.

Die Ursachenforschung

Beim Untersuchen des Systems fiel mir in diesen Momenten eine sehr hohe CPU last auf. Beim genaueren betrachten fiel mir der Virenscannerprozess auf. Also geschwind mal den McAffee deaktiviert und hey, es ging plötzlich.

Also diese PC Bremse diesen Virenscanner deinstalliert und durch AVG ersetzt. Und hey, das Symptom lies sich nicht mehr reproduzieren.

Also, haben wir wieder einmal gelernt, wie schlecht doch manche Virenscanner sind.