RemoteDesktop Dienste (RDS) verwalten unter SBS 2011 Standard/Essentials sowie 2012 Essentials

Posted by O.Sommer

Microsoft hat unter der Nummer 2472211 einen KB Artikel veröffentlicht, der aufzeigt wie man unter Small Business Server Std und Essentials 2011 und Windows Server Essentials 2012 die Remote Desktop Verwaltungskonsole installieren kann.
Die o.g. Server installieren und konfigurieren von sich aus den Remote Desktop Gateway Dienst mittels der Internetzugangsassistenten. Manchmal kann es aber notwendig sein die Konsole zu benutzen, diese wird aber standardmäßig nicht installiert.
Der folgende Artikel geht auf die Besonderheiten ein und erklärt wie man die Konsole korrekt installiert:

How to Manage the Remote Desktop Gateway Service in SBS 2011 Standard , SBS 2011 Essentials and Windows Server 2012 Essentials
http://support.microsoft.com/kb/2472211

Nicht explizit in dem Artikel aufgeführt aber meiner Ansicht nach genauso bzw. zumindest genauso betroffen und zu verfahren ist auch der Windows Server Essentials 2012 R2.

extrem kritischer RDP Patch

Posted by o.sommer

Der am letzten Patchday erschienene Fix für das Problem bei bestimmten RDP Konfigurationen ist deshalb extrem kritisch, da es sich um eine Lücke handelt deren Voraussetzungen zur Ausnutzung sehr wahrscheinlich der Konfiguration der meisten im Betrieb befindlichen Server entspricht.

Sollte der Server via Port 3389/TCP erreichbar sein und “Authentifizierung auf Netzwerkebene” (network level authentication (NLA)) nicht aktiviert sein, dann lässt sich diese Lücke (bisher theoretisch) ausnutzen.
Dabei ist es nicht unbedingt sicher, wenn der Server nicht über den RDP Port 3389 zum Internet veröffentlicht wurde, sondern nur intern erreichbar ist, da sehr einfach Malware vorstellbar ist, die über einen internen Client Angriffe auf RDP Server durchführt!

Mit diesen Einstellungen ist ein Server potenziell gefährdet:

image

 

Ein Ausschluss der Gefahr ist (zumindest für Versionen ab 2008) denkbar einfach und sollte zusätzlich zum Patch konfiguriert werden:

image

ACHTUNG:
Damit werden Windows Versionen XP/2003 oder älter vom RDP Zugriff auf diesen Server ausgeschlossen, aber das ist zumindest bei den meisten unserer Kunden kein Problem mehr, da XP Rechner idR nicht mehr in relevanter Anzahl vorhanden sind, und wenn dann keinen RDP Zugriff benötigen
.

Unter SBS kann eine vorhandene Gruppenrichtlinie angepasst werden, um die notwendigen Einstellungen für alle SBS Client Computer zentral durchzuführen:

image

Pfad für Einstellungen:
Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Remotedesktopdienste/Remotedesktopsitzungs-Host/Sicherheit

Der Wert ist auf “Aktiviert” zu setzen um die Sicherheitslücke auszuschließen.

 

Sicherheitsupdate für Windows Server 2008 x64 Edition (KB2647170)
Updatetyp: Wichtig
Es wurde eine Sicherheitslücke entdeckt, durch die ein nicht authentifizierter Remoteangreifer verursachen kann, dass ein System nicht mehr reagiert. Durch die Installation dieses Updates von Microsoft können Sie zum Schutz Ihres Systems beitragen. Nach der Installation dieses Updates müssen Sie das System gegebenenfalls neu starten.

Weitere Informationen:
http://go.microsoft.com/fwlink/?LinkId=235401

 

Einige Links zum Thema und das Statement von Yunsun Wee:

“Proof-of-Concept Code available for MS12-020 - MSRC - Site Home - 
TechNet Blogs:
 
On March 15, we became aware of public proof-of-concept code that 
results in denial of service for the issue addressed by MS12-020 
we released Tuesday.
 
We continue to watch the threat landscape and we are not aware of public 
proof-of-concept code that results in remote code execution.
 
We recommend customers deploy MS12-020 as soon as possible, as this 
security update protects against attempts to exploit CVE-2012-0002. 
Additionally we have offered a one-click Fix It 
to help mitigate risk for those customers who need time to test the 
update before deploying it.
 
The details of the proof-of-concept code appear to match the 
vulnerability information shared with Microsoft Active Protections 
Program (MAPP) partners. Microsoft is actively investigating the 
disclosure of these details and will take the necessary actions to 
protect customers and ensure that confidential information we share is 
protected pursuant to our contracts and program requirements.
 
Customers who have deployed MS12-020 are protected from attempts to 
exploit CVE-2012-0002.
 
Consistent with the charter of the MAPP program, we released details 
related to the vulnerabilities addressed in MS12-020 to MAPP partners 
under a strict Non-Disclosure Agreement in advance of releasing the 
security bulletin. Security software partners use this type of 
information to build enhanced customer protections that, in many cases, 
provide customers with more time to make optimal deployment decisions 
for their environments. More information about the MAPP program can be 
found here: 
 
Thanks,
Yunsun Wee
Director, Trustworthy Computing”

Setup and config of WOL4SBS2008

Posted by o.sommer

At www.SBStools.com we provide a SBS addon tool (aka WOL4SBS2008) that allows you to wake up your powered down or sleeping office computers using Small Business Servers remote portal website “Remote Web Workplace” (RWW).

This helps you to become greener and actually save a lot money on energy and will slow down wear of your computers, because now you  can shutdown your computers when leaving the office and wake them up remotely if you need them!

Doing the math here on potential energy savings:

One Computer running 24 hours x 365 days equals 8760 hours of runtime per year.
A Computer usually consumes about 50 Watt (0,05 kW) of power in average, which makes that 438 kW per year.
Multiplied by the current cost of energy in Germany of about 20cents per kW that summs up to 87,60 EUR per year.

If you count on 20 work days per month and 8h shifts, then a typical computer would really only need to be on about 1920 hours per year at a cost of 19,20 EUR.

So the potential savings here on energy alone are 87,60-19,20 = 68,40 EUR per computer per year!

So if you are able to shutdown just one computer than after less than two years the tools costs are already returned just by energy savings.
If you can shutdown two or more computers your savings would go up dramatically, for example if you run 5 computers this tool can easily safe you 342 EUR per year, not including additional savings you can achieve for example by been able to turn on power saving profiles so that the computer can go to sleep when not been used for a while even during office hours.

On the technical side we use so called Magicpackets also known as WakeOnLAN (WOL) Broadcasts to trigger the WOL capabilities that almost every integrated and addon networkcard supports.

First you need to get the installation package from our website (SBStools.com):

image_thumb

image_thumb[1]

image_thumb[2]

Than just open and run the setup.exe file to begin the installation:

image_thumb[3]

The setup wizard is quite simple to follow:

image_thumb[4]

click next

image_thumb[5]

agree to the license terms and click next

image_thumb[6]

only change the folder and user settings if really needed

image_thumb[7]

That’s basically all you need to do to install the tool to your server, so click next to start copying and setup.

To allow changes to the system you might need to allow these on the “User Account Control” prompt:

image_thumb[8]

Install than performs some copying and other setup operations:

image_thumb[9]

image_thumb[10]

Now to get WOL functions into the RWW you now need to start the configuration tool of WOL4SBS2008

image_thumb[11]

image_thumb[12]

on first start the config tool automatically asks you to request a free 60 day trial version or to enter your serial (for purchase on SBStools.com):

image_thumb[13]

you will be asked for an emailadress. This emailadress wil lonly be used for trial activation and will be verifyed with an email we send to this adress that includes an online actvation link you need to click to activat your trial:

image_thumb[14]

click “Request/Activate Temporary License” to at first send the email

image_thumb[15]

and after you activated the trial by browsing (clicking) the link in the email we send to you

image_thumb[16]

After successfull verification you can proceed at the trialcheck of the config tool:

image

image_thumb[18]

If your config tool comes up empty as mine just did, you need to now the path of SBS 2008 RWW which by default is:
C:\Program Files\Windows Small Business Server\Bin\webapp

Also you should enter the SBS 2008 Servers IP into the DHCP Server IP Address field.

image

image_thumb[20]

image_thumb[21]

So that fully filled in it should something like this:

image_thumb[28]

now clikc on Save Settings and acknowledge the service restart warning (you can stop and start that service on the “resolver service” sheet here:

image_thumb[23]

You should also change the setting to actually reflect your actuall IP adress range and turn off diagnose logging as soon as you checked that the wake on LAN technologie works in your setup:

image_thumb[24]

Hit “Save Settings” here to apply the changes and than restart the service using the stop and start service button.

Now click ”integrate” on the first page of the config tool to modify the RWW webpages to show the “turn on Computer” and other buttons:

image_thumb[27]

image_thumb[26]

image_thumb[29]

Now when you logon to RWW you get the new WOL features on the “computer list”:

image_thumb[36]

The “turn on computer” and “send ping” buttons (here shown in german") are now usable:

image_thumb[32]

Clicking on “turn on computer” now should return to the RWW homepage and write a green text on the  right hand side of the page just below the “view help” text like this:

image

now the computer should turn on and boot. After how long ever it takes your computer to boot you should be able to than go to the computer list again and connect to the computer. You can check if the computer is already turned on by using the “send ping” button:

image

which will return a red text if the computer is not available

image

and a green text if the computer already responds to pings:

image

 

Hope this helps and you enjoy your WakeOnLAN enabled SBS 2008 RWW.

As said before: The tool is available for purchase on www.SBSTools.com .

“Remote Web Access is not allowed for your user account. Contact the person who manages your server."

Posted by o.sommer

Bei den meisten deutschen SBS 2011 besteht das Problem, das Benutzer sich nicht am Remote Web App

image

anmelden können, sondern nur eine Fehlermeldung bekommen.
Als Workaround hilft es die Sprachauswahl auf der Anmeldeseite erneut zu Bestätigen:

image

Dies wurde u.a. im MS Forum diskutiert:
http://social.technet.microsoft.com/Forums/en-US/sbsde/thread/79f24e35-a7e5-4cb4-a74d-5ff462d6bf57?prof=required

Endlich ist hierzu mit dem SBS 2001 UR1 eine Lösung für dieses Problem verfügbar:

http://support.microsoft.com/kb/2555251
“Update Rollup 1 for Windows Small Business Server 2011 Standard is available”

image

Wake on LAN für SBS 2011: Erste Beta Version verfügbar

Posted by o.sommer

Auf http://WOL4RWW.de ist auf vielfache Nachfrage nun endlich die erste beta Version von WOL4RWA bzw. WOL4RWW für den Small Business Server 2011 zum kostenfreien Download verfügbar.

image

Die derzeitige Version beinhaltet noch keine setup Applikation und muss durch Editieren von XML Dateien konfiguriert werden, sollte aber ansonsten voll funktionsfähig sein. Details dazu sind in der Install.txt in der ZIP Datei beschrieben.

Die 2011er Version integriert sich vollständig in den Remote Webarbeitsplatz, der beim SBS 2011 Remotewebzugriff oder auf englísch Remote Web Access genannt wird. Deshalb heißt das fertige Produkt später dann auch WOL4RWA (Wake on LAN for Remote Web Access).

Anders als die 2008er Version integriert sich die Neue auch in die Startseite des RWA und ermöglicht so das Einschalten eines Computers auf allen Seiten des SBS Webportals von wo aus man sich mit einem Computer verbinden kann:

image


In die Entwicklung der 2011er Version sind viele Vorschläge von Benutzern und Erfahrungen aus den Vorgänger Produkten eingeflossen. So gibt es z.B. individualisierbare Symbole für den Ampelstatus, der den Zustand der Computer angezeigt und gleichzeitig als Schaltfläche zum Einschalten dient. Zwei verschiedene Symbolarten sind bereits integriert, eigene können durch Sicherung und anschliessendes Überschreiben der Dateien im “Images” Pfad der Anwendung verwendet werden.

Die 2011er Version wird später auch für den SBS 2011 Essentials und die anderen 2011er Produkte, sowie sehr wahrscheinlich auch für 2008 R2 Server weiterentwickelt werden.

Powershell und Server-Manager Verknüpfungen in der Taskbar ausblenden

Posted by T.Brinkmann

Seit Windows 7 bzw. Server 2008R2 wurde die Taskleiste durch die Taskbar ersetzt. Die Taskbar ist ein ziemlicher Fortschritt was die Bedienbarkeit anbelangt. In jedem Fall ist die Taskbar nach der Ersteinrichtung eines Windows Server 2008R2 mit Verknüpfungen vorbelegt, unter anderem zur Powershell und zum Server-Manager. Für Admins durchaus sinnvoll.

Erhält jedoch ein Server 2008R2 die Rolle “Remotedesktop-Sessionhost” (ehemals Terminalservices) werden diese Verknüpfungen auch bei den Usern direkt nach der ersten Anmeldung zugewiesen. Klickt ein normaler RDS Benutzer auf “Server-Manager” erhält er zwar die Meldung “Zugriff verweigert” – schöner wäre es wenn die Verknüpfungen gar nicht erst erscheinen.

Warum erscheinen die Verknüpfungen? – Bei der Anmeldung eines Users an den RD-Sessionhost werden die Verknüpfungen aus dem Ordner “%Allusersprofile%\Microsoft\Start Menu\Programs\Administrative Tools” ins %APPDATA% des Users kopiert, und dann in die Taskbar eingebunden. – Sofern der User Zugriff auf die Dateien unter %Allusersprofile% hat.

Mit diesem Wissen ist es ziemlich einfach die Verknüpfungen für neue User nicht automatisch in der Taskbar stehen zu haben:

Am einfachsten per GPO, welches entweder per Sicherheitsfilterung auf die entsprechenden RDS-Hosts angewandt werden, oder aber direkt auf die den RDS-Host beinhaltenden OU greift. Den “normalen” Benutzern wird schlichtweg der Zugriff auf die Verknüpfungen entfernt. Administratoren bekommen weiterhin die Links.image

Bei der Gelegenheit kann auch noch der Punkt “Verwaltung” im Start-Menü für die User ausgeblendet werden. Das wird am einfachsten über einen Registry-Eintrag bei “HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced” eingestellt.

StartMenuAdminTools REGDWORD  = 0

Start_AdminToolsRoot REGDWORD = 0image

FIX: “Die Sitzung wurde wegen einem Lizenzprotokollfehler abgebrochen”

Posted by T.Redelberger

RDP-Client, die sich mit der Fehlermeldung “Die Sitzung wurde wegen einem Lizenzprotokollfehler abgebrochen” beenden, müssen wie folgt zurückgesetzt werden:

Auf dem betroffenen RDP-Client PC:

-> Löschen (ggf. vorher Sichern durch Export) des Schlüssels HKEY_LOCAL_MACHINE\Software\Microsoft\MSLicensing
-> Ab Windows Vista/7: Starten von mstsc.exe mit "Als Administrator ausführen", um für den RDP-Client den Wert MSLicensing neu zu setzen
-> Ab Windows Vista/7: Starten von Internet Explorer inkl. dessen RDP-Active-Control mit "Als Administrator ausführen", um auch dort den Wert zurückzusetzen


Zugrundeliegender Support-Artikel:

Removing Terminal Server licenses from an RDP client
http://support.microsoft.com/kb/187614/en-us


Weitere Hintergrundinformationen:

Troubleshooting Remote Desktop Licensing Error Messages
http://technet.microsoft.com/en-us/library/cc756826.aspx