[2003] mstsc /console disablen? - Serversoftware en clouddiensten

donderdag 14 december 2006 16:44

Acties:

Topicstarter

Hiephoi,

op een aantal van onze servers wordt een ServiceDesk pakket gehost (Peregrine) en die kan er niet tegen als iemand via RDP op console inlogd. Het betreft hier dus een Windows Server 2003 standaard installatie. Is het mogelijk het overnemen van de console via RDP uit te zetten? Technet, google en MS site in general kon me niet verder helpen... Is hier een regkey voor ofzo? Ook in de local polocies / Terminal Services configuration vond ik niks terug hierover.

/edit
als update op de reactie hieronder: ik wil dus inderdaad ENKEL de optie om console over te nemen disablen. RDP zelf moet wel actief blijven om beheer te kunnen doen. Moesten we echt console nodig hebben, kunnen we altijd via Dameware, de IP KVM switches of de DRAC interfaces te zaak benaderen.

[ Voor 24% gewijzigd door Rataplan_ op 15-12-2006 09:50 ]

donderdag 14 december 2006 16:49

Acties:

SierdW

/edit Oeps, zie nu pas dat het om console gaat, excuses...

[ Voor 82% gewijzigd door SierdW op 14-12-2006 16:50 . Reden: Foutje ]

woensdag 20 december 2006 16:18

Acties:

Rataplan_

Topicstarter

*bump*

probleem nog niet opgelost, nog steeds niemand een idee?

woensdag 20 december 2006 16:25

Acties:

djluc

Draait je servicedesk programma niet als service met dat interactive vinkje aan? Misschien kun je daarmee het probleem oplossen?

woensdag 20 december 2006 16:55

Acties:

Rataplan_

Topicstarter

Interactive staat netjes uit. Verder is dat de applicatie van een klant, aan de coniguratie DAARvan ga ik niks wijzigen.

donderdag 21 december 2006 09:37

Acties:

BFS

Rude awakening

Ik weet niet om hoeveel gebruikers het gaat die MSTSC gebruiken maar je kan de exe ook aanpassen en waarschijnlijk kun je daarmee de optie /console ook wel uitschakelen?

When did I realize I was God? Well, I was praying and suddenly I realized that I was talking to myself

donderdag 21 december 2006 09:41

Acties:

GH45T

Als ik me niet vergis is dit in je lokale group policy in te stellen.

gpedit.msc en onder administrative templates / windows of iets dergelijks staat ergens een mapje terminal services. daar kun je dit soort dingen regelen. Ik kan het even niet nakijken maar het is zeker de moeite waard om even te zoeken.

donderdag 21 december 2006 15:28

Acties:

Spectre75

Nope geen optie om de /console te disablen

woensdag 3 januari 2007 20:50

Acties:

Rataplan_

Topicstarter

die optie is er niet nee. Het 'patchen' of weghalen van mstsc.exe is natuurlijk geen optie, dat is niet het probleem oplossen maar ervoor zorgen dat je er niet meer tegenaanloopt, dat is een wezenlijk verschil.

ik heb het ook nog steeds niet voor elkaar gekregen. De beheerders in onze club doen eigenlijk veelal standaard /console, daar je een aantal zaken dan toch iets beter in de hand hebt. Naja, dat moeten we dan maar laten. Ik ga en wil niet teveel prusten aan die systemen, er zijn duizenden gebruikers daarop.

donderdag 4 januari 2007 17:36

Acties:

sanfranjake

Computers can do that?

Mag er helemaal niemand aangelogd zijn op de console? Anders zou je nog de optie: deny logoff administrator from console-session kunnen gebruiken, en dan altijd een gebruiker van wie niemand het wachtwoord weet ingelogd laten. Dan went men er wel snel genoeg aan denk ik

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

vrijdag 5 januari 2007 09:18

Acties:

Rataplan_

Topicstarter

hmmm, dat is wel een idee. Nou is het probleem dat juist bij het INloggen van een console sessie het misgaat, maar als ik een user automatisch laat inloggen, de service laat herstarten en ervoor zorg dat die sessie inderdaad niet gekilled/uitgelogd kan worden, ben ik er wellicht ook. Bedankt voor de tip!

vrijdag 5 januari 2007 11:48

Acties:

Poltergeist

Foutje...

[ Voor 112% gewijzigd door Poltergeist op 05-01-2007 11:50 ]

vrijdag 5 januari 2007 14:36

Acties:

Sundead

Ik weet niet zeker of deze gaat werken, maar zou je met de "deny logon locally" in de security settings van een GPO niet het 1 en ander kunnen uitsluiten (en dus misschien verkapt de console login disablen?) [/suggestie]

edit:
Helemaal gelijk hier beneden

*rent naar koffiemasjientje* Hoog tijd voor weekend

[ Voor 18% gewijzigd door Sundead op 05-01-2007 16:43 ]

vrijdag 5 januari 2007 15:55

Acties:

Verwijderd

Sundead schreef op vrijdag 05 januari 2007 @ 14:36:
Ik weet niet zeker of deze gaat werken, maar zou je met de "deny logon locally" in de security settings van een GPO niet het 1 en ander kunnen uitsluiten (en dus misschien verkapt de console login disablen?) [/suggestie]

werkt je gewone rdp ook niet meer...

Wat de ts beter kan doen is rdp helemaal uitschakelen voor deze server en op die manier dwingen dat er altijd met een 3rd party tool geconnect wordt.

vrijdag 5 januari 2007 18:32

Acties:

sanfranjake

Computers can do that?

Tja dan pak je ook _altijd_ de console open, als er dan al iets fout gaat bij het inloggen van die console dan heb je nooit de garantie dat alle andere bewerkingen wel zomaar geaccepteerd worden.

Zou het misschien een idee zijn om die server niet meer allemaal tegelijk te benaderen? Is het misschien niet iets wat in de opstarten-lijst staat voor alle gebruikers waardoor het programma niet wil werken? Met andere woorden is wat je doet wel een oplossing voor het probleem of is het (nofi) een vorm van symptoombestrijding? Ik zou het een beetje slordig programmeerwerk vinden als het pakket daadwerkelijk de functionaliteit van je besturingssysteem dat toch ook minimaal zo'n 700 euro kost zou verminderen. Maarja ik ken dit specifieke pakket niet.

Allow logon locally wijzigen is imho over het algemeen een slecht plan, zoals iis5_rulez zegt.

[ Voor 8% gewijzigd door sanfranjake op 05-01-2007 18:34 ]

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

zaterdag 6 januari 2007 20:37

Acties:

Rataplan_

Topicstarter

alternatief voor RDP? Like? We gebruiken wel Dameware, maar ook die gebruikt console. Zelfde voor VNC, wat een aantal klanten nog gebruiken.

Ik probeer maandag wat tijd te steken in dit probleem. Wellicht kan ik met policies inderdaad wat bereiken. Deny logon locally gaat niet werken, ten eerste kan ik dan in geval van calamiteiten / onderhoud daadwerkelijk ook lokaal niet meer inloggen via de fysieke console (danwel via onze IP-KVM switches danwel via de Remote Access Interface). Deny logon trough Terminal Services heft ook de 'normale' RDP sessies op. Wat ik wil testen is of 'Deny logon locally' ook de 'lokale' (lees console) sessie dichtzet voor Terminal Services. If so, is het in dit geval toch het overwegen waard. Ik kan in dat geval een lokale user aanmaken die als enige nog lokaal console kan inloggen.

Ik zal in de loop van de week update posten hier. Meer suggesties zijn natuurlijk altijd welkom!

zaterdag 6 januari 2007 20:53

Acties:

sanfranjake

Computers can do that?

Maak eerst even een goede backup, want de kans dat dit misgaat is natuurlijk wel erg groot

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

zondag 7 januari 2007 13:03

Acties:

Brahiewahiewa

boelkloedig

Denk dat je het probleem het beste bij de oorzaak kunt aanpakken: Peregrine.
Als dat pakket er niet tegen kan dat er /console sessies worden gebruikt, moet je het dus niet op die server(s) draaien. Is 't misschien een oplossing om Virtual Server (gratis) op die server(s) te installeren en een VM te maken, specifiek voor Peregrine?

QnJhaGlld2FoaWV3YQ==

maandag 8 januari 2007 14:14

Acties:

Rataplan_

Topicstarter

Nee, we draaien hier in een datacenter met tegen de 400 servers, redelijk grote omgeving dus. Als datacenter kan je zulke 'ducktape' oplossingen niet aan de klant uitleveren. Ik ben het er volledig mee eens dat de applicatie het probleem is, en het daar aangepakt moet worden, dit is ook aangekaart maar de uitgever doet er vooralsnog niks aan. Daarnaast beheren wij als datacenter die applicatie niet, enkel het OS en alle facaliteiten daaromheen.

maandag 8 januari 2007 14:55

Acties:

FaceDown

Storende factor.

Misschien kun je RDP downgraden naar 5.0? Of anders het OS naar Windows 2000 server downgraden

Groetjes, FaceDown.

maandag 8 januari 2007 17:59

Acties:

sanfranjake

Computers can do that?

Nee dat is een goede oplossing met 400 servers

Hoe kan een leverancier van een pakket voor grote datacenta het zich permitteren dan om zo'n brakke app te leveren vraag ik me dan af.... heb je dit al eens bij Peregrine neergelegd?

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters