none
AD/Licence-Server-Problematik Terminalserver 2008 RRS feed

  • Frage

  • Hallo,

    an einen TS-Experten: Wir haben hier eine W2k3-Domäne mit einem 2003 DC/GC (FSMO) und einem W2k-DC, weshalb die Domänenfunktionsebene "Windows 2000 pur" ist.
    Neu hinzugekommen ist ein W2k8 (64bit) Standard-Server (dieser ist Mitglied unserer Domäne) auf dem wir Terminal Services mit zwei Listenern (3389; 3390) nutzen, der TS-Lizenzserver mit User-CALs sitzt auf diesem Server, der Server ist im AD in der Gruppe "Terminalserver-Lizenzserver", diese hat wiederrum volle "Account Operators"-Rechte.

    Wir habend zwei Probleme:

    1. Wir haben Meldungen mit Event ID 4105 "Lizenzserver kann die Lizenzattribute für Benutzer XXX nicht aktualisieren". Wir haben festgestellt, daß einige wenige User das W2k3-(Binär-)Attribut "terminalserver" haben, da wird nicht gemeckert, wobei hingegen offensichtlich alle neu hinzugekommenen Nutzer dieses Attribut nicht verpasst bekommen. Braucht man ein Schema-Update der Domäne für die neuen W2k8-Attribute "msTSManagingLS, msTSLicenseVersion, msTSExpireDate" oder sollte es so passen ? Woran kann es ansonsten aber noch hapern ?

    2. Nach einem Windowsupdate mit automatischen Neustart hat es die Lizenz-DB zerlegt (hier gleich die Frage: Passiert das öfter ?), leider konnte ich den Lizenzserver nicht neu aktivieren (Internal Error: 0xc0110011). Leider hatte ich nur das Verzeichnis "lserver" (ohne "Systemstate") im Backup, restore schlug fehl. Also "lserver" unbenannt und den Lizenzserver de-und wieder neu installiert, CALs konnte ich wieder problemlos einspielen. "Lizensierungsdiagnose" sagt "keine zu meldenden Probleme identifiziert", Nutzer können sich anmelden, ich bekomme wieder meine 4105-Events. Aber: Wenn ich mir im Lizensierungsmanager einen Bericht erstellen lasse, bleibts bei null, egal, ob sich ein User mit oder ohne "terminalserver"-Attribut anmeldet. Wem fällt da noch was ein ?

    Für Hilfe wäre ich sehr dankbar !

    Viele Grüße
    cdeibert
    Freitag, 12. März 2010 13:33

Alle Antworten

  • Hi,

    zu 1 : schon mal hier geschaut : http://technet.microsoft.com/en-us/library/cc775179(WS.10).aspx

    zu 2 : Mir ist es noch nie passiert. Ich behaupte also einfach mal, dass es eher selten auftritt.

    Gruß
    Martin
    Freitag, 12. März 2010 14:51
  • Hallo,

    danke für die Antwort, kenne den Artikel, da steht nichts drin, was mir weiterhilft. Anyone ?

    Danke
    Carsten
    Freitag, 12. März 2010 16:31
  • Hi,

    poste einmal die ACL von einem Benutzerobjekt. Ich vermute, es fehlt eine entsprechende ACE auf den Benutzerobjekten.
    Exportieren kannst Du die Daten etwa mittels "DSACLS CN=user,OU=ou,DC=domain,DC=intern" - bitte entsprechend "heikle" Daten aus dem Export entfernen.

    Viele Grüße
    Fabian
    http://blogs.technet.com/deds
    Samstag, 13. März 2010 00:01
  • Hi <???>

    > an einen TS-Experten: Wir haben hier eine W2k3-Domäne mit einem 2003 DC/GC
    > (FSMO) und einem W2k-DC, weshalb die Domänenfunktionsebene "Windows 2000
    > pur" ist.
    > Neu hinzugekommen ist ein W2k8 (64bit) Standard-Server (dieser ist
    > Mitglied unserer Domäne) auf dem wir Terminal Services mit zwei Listenern
    > (3389; 3390) nutzen, der TS-Lizenzserver mit User-CALs sitzt auf diesem
    > Server, der Server ist im AD in der Gruppe "Terminalserver-Lizenzserver",
    > diese hat wiederrum volle "Account Operators"-Rechte.
    >
    > Wir habend zwei Probleme:
    [..]
    > 2. Nach einem Windowsupdate mit automatischen Neustart hat es die
    > Lizenz-DB zerlegt (hier gleich die Frage: Passiert das öfter ?), leider
    > konnte ich den Lizenzserver nicht neu aktivieren (Internal Error:
    > 0xc0110011). Leider hatte ich nur das Verzeichnis "lserver" (ohne
    > "Systemstate") im Backup, restore schlug fehl. Also "lserver" unbenannt
    > und den Lizenzserver de-und wieder neu installiert, CALs konnte ich wieder
    > problemlos einspielen. "Lizensierungsdiagnose" sagt "keine zu meldenden
    > Probleme identifiziert", Nutzer können sich anmelden, ich bekomme wieder
    > meine 4105-Events. Aber: Wenn ich mir im Lizensierungsmanager einen
    > Bericht erstellen lasse, bleibts bei null, egal, ob sich ein User mit oder
    > ohne "terminalserver"-Attribut anmeldet. Wem fällt da noch was ein ?

    zu "2." kann ich sagen, dass es dann meistens nicht am Update/Restart
    sondern vermutlich an der eingesetzen und fehllerhaft konfigurierten
    AntiViren-Lösung liegt.

    Hier ein allg. Überblick (nicht super-aktuell, aber trotzdem noch gültig)
    welche Verzeichnisse (je nach Rolle) NICHT von einer AV-Lösung gescant
    werden darf:

    http://www.sbsfaq.de/SBS2003/Exchange2003/SetupundKonfiguration/VonAVScanauszuschliessendeExchangeOrdner/tabid/400/language/de-DE/Default.aspx

    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net


    Sonntag, 14. März 2010 12:37
  • Hallo,

    zunächst einmal danke für alle Antworten. Zuerst zu Tobias: Ich habe im Vorfeld alle W2k8-kritischen Verzeichnisse vom AV exkludiert...Warum aber zählt der Lizenzserver nicht mehr mit ?

    Zu Fabian: Hier der gewünschte Post von einem Mitarbeiter, der das Attribut "terminalserver" nicht mehr automatisch verpasst bekommt, wie man sieht, hat "Account Operators"  FULL CONTROL:

    {quote}

    Access list:
    Effective Permissions on this object are:
    Allow DOMÄNE.DE\Domain Admins                      FULL CONTROL
    Allow NT-AUTORIT-T\SYSTEM                              FULL CONTROL
    Allow VORDEFINIERT\Account Operators                   FULL CONTROL
    Allow NT-AUTORIT-T\SELBST                              SPECIAL ACCESS
                                                           READ PERMISSONS
                                                           LIST CONTENTS
                                                           READ PROPERTY
                                                           LIST OBJECT
    Allow NT-AUTORIT-T\Authentifizierte Benutzer           SPECIAL ACCESS
                                                           READ PERMISSONS
    Allow VORDEFINIERT\Administrators                      SPECIAL ACCESS   <Inherited from parent>
                                                           DELETE
                                                           READ PERMISSONS
                                                           WRITE PERMISSIONS
                                                           CHANGE OWNERSHIP
                                                           CREATE CHILD
                                                           LIST CONTENTS
                                                           WRITE SELF
                                                           WRITE PROPERTY
                                                           READ PROPERTY
                                                           LIST OBJECT
                                                           CONTROL ACCESS
    Allow DOMÄNE.DE\Enterprise Admins                  FULL CONTROL   <Inherited from parent>
    Allow DOMÄNE.DE\Exchange Enterprise Servers        SPECIAL ACCESS   <Inherited from parent>
                                                           LIST CONTENTS
    Allow VORDEFINIERT\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS   <Inherited from parent>
                                                           LIST CONTENTS
    Allow DOMÄNE.DE\Exchange Enterprise Servers        SPECIAL ACCESS   <Inherited from parent>
                                                           READ PERMISSONS
                                                           LIST CONTENTS
                                                           READ PROPERTY
                                                           LIST OBJECT
    Allow VORDEFINIERT\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS   <Inherited from parent>
                                                           READ PERMISSONS
                                                           LIST CONTENTS
                                                           READ PROPERTY
                                                           LIST OBJECT
    Allow NT-AUTORIT-T\SELBST                              SPECIAL ACCESS for Personal Information
                                                           WRITE PROPERTY
                                                           READ PROPERTY
    Allow NT-AUTORIT-T\SELBST                              SPECIAL ACCESS for Phone and Mail Options
                                                           WRITE PROPERTY
                                                           READ PROPERTY
    Allow NT-AUTORIT-T\SELBST                              SPECIAL ACCESS for Web Information
                                                           WRITE PROPERTY
                                                           READ PROPERTY
    Allow DOMÄNE.DE\RAS and IAS Servers                SPECIAL ACCESS for Remote Access Information
                                                           READ PROPERTY
    Allow DOMÄNE.DE\RAS and IAS Servers                SPECIAL ACCESS for Account Restrictions
                                                           READ PROPERTY
    Allow DOMÄNE.DE\RAS and IAS Servers                SPECIAL ACCESS for Group Membership
                                                           READ PROPERTY
    Allow NT-AUTORIT-T\Authentifizierte Benutzer           SPECIAL ACCESS for General Information
                                                           READ PROPERTY
    Allow NT-AUTORIT-T\Authentifizierte Benutzer           SPECIAL ACCESS for Personal Information
                                                           READ PROPERTY
    Allow NT-AUTORIT-T\Authentifizierte Benutzer           SPECIAL ACCESS for Web Information
                                                           READ PROPERTY
    Allow NT-AUTORIT-T\Authentifizierte Benutzer           SPECIAL ACCESS for Public Information
                                                           READ PROPERTY
    Allow DOMÄNE.DE\RAS and IAS Servers                SPECIAL ACCESS for Logon Information
                                                           READ PROPERTY
    Allow DOMÄNE.DE\Cert Publishers                    SPECIAL ACCESS for userCertificate
                                                           WRITE PROPERTY
                                                           READ PROPERTY
    Allow DOMÄNE.DE\AD_Mitarbeiter_Change              SPECIAL ACCESS for Web Information   <Inherited from parent>
                                                           WRITE PROPERTY
                                                           READ PROPERTY
    Allow DOMÄNE.DE\AD_Mitarbeiter_Change              SPECIAL ACCESS for Phone and Mail Options   <Inherited from parent>
                                                           WRITE PROPERTY
                                                           READ PROPERTY
    Allow DOMÄNE.DE\AD_Mitarbeiter_Change              SPECIAL ACCESS for Personal Information   <Inherited from parent>
                                                           WRITE PROPERTY
                                                           READ PROPERTY
    Allow DOMÄNE.DE\AD_Mitarbeiter_Change              SPECIAL ACCESS for Public Information   <Inherited from parent>
                                                           WRITE PROPERTY
                                                           READ PROPERTY
    Allow DOMÄNE.DE\Exchange Enterprise Servers        SPECIAL ACCESS for Public Information   <Inherited from parent>
                                                           WRITE PROPERTY
    Allow DOMÄNE.DE\Exchange Enterprise Servers        SPECIAL ACCESS for Personal Information   <Inherited from parent>
                                                           WRITE PROPERTY
    Allow DOMÄNE.DE\Exchange Enterprise Servers        SPECIAL ACCESS for groupType   <Inherited from parent>
                                                           WRITE PROPERTY
    Allow DOMÄNE.DE\Exchange Enterprise Servers        SPECIAL ACCESS for displayName   <Inherited from parent>
                                                           WRITE PROPERTY
    Allow NT-AUTORIT-T\SELBST                              Change Password
    Allow NT-AUTORIT-T\SELBST                              Send As
    Allow NT-AUTORIT-T\SELBST                              Receive As
    Allow Jeder                                            Change Password
    Allow DOMÄNE.DE\XXXAdmin                           Send As   <Inherited from parent>

    Permissions inherited to subobjects are:
    Inherited to all subobjects
    Allow VORDEFINIERT\Administrators                      SPECIAL ACCESS   <Inherited from parent>
                                                           DELETE
                                                           READ PERMISSONS
                                                           WRITE PERMISSIONS
                                                           CHANGE OWNERSHIP
                                                           CREATE CHILD
                                                           LIST CONTENTS
                                                           WRITE SELF
                                                           WRITE PROPERTY
                                                           READ PROPERTY
                                                           LIST OBJECT
                                                           CONTROL ACCESS
    Allow DOMÄNE.DE\Enterprise Admins                  FULL CONTROL   <Inherited from parent>
    Allow DOMÄNE.DE\Exchange Enterprise Servers        SPECIAL ACCESS   <Inherited from parent>
                                                           LIST CONTENTS
    Allow VORDEFINIERT\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS   <Inherited from parent>
                                                           LIST CONTENTS
    Allow DOMÄNE.DE\Exchange Enterprise Servers        SPECIAL ACCESS for Public Information   <Inherited from parent>
                                                           WRITE PROPERTY
    Allow DOMÄNE.DE\Exchange Enterprise Servers        SPECIAL ACCESS for Personal Information   <Inherited from parent>
                                                           WRITE PROPERTY
    Allow DOMÄNE.DE\Exchange Enterprise Servers        SPECIAL ACCESS for groupType   <Inherited from parent>
                                                           WRITE PROPERTY
    Allow DOMÄNE.DE\Exchange Enterprise Servers        SPECIAL ACCESS for displayName   <Inherited from parent>
                                                           WRITE PROPERTY

    Inherited to group
    Allow VORDEFINIERT\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS   <Inherited from parent>
                                                           READ PERMISSONS
                                                           LIST CONTENTS
                                                           READ PROPERTY
                                                           LIST OBJECT
    Inherited to inetOrgPerson
    Allow DOMÄNE.DE\Exchange Enterprise Servers        SPECIAL ACCESS   <Inherited from parent>
                                                           READ PERMISSONS
                                                           LIST CONTENTS
                                                           READ PROPERTY
                                                           LIST OBJECT
    Inherited to group
    Allow DOMÄNE.DE\Exchange Enterprise Servers        SPECIAL ACCESS   <Inherited from parent>
                                                           READ PERMISSONS
                                                           WRITE PERMISSIONS
                                                           LIST CONTENTS
                                                           READ PROPERTY
                                                           LIST OBJECT
    The command completed successfully

    {quote}

    Nochmal die Frage: Schemaupdate braucht man bei einem W2k8-TS nicht be einer W2k3-Domäne ? Es reicht das Attribut "terminalserver" ?

    Danke!
    Carsten
    Dienstag, 16. März 2010 10:00
  • Hi,

    ich weiß gerade nicht, was mit den "Account Operators" gemeint ist ;-), aber welche Unterschiede gibt es zu einem Benutzer, der mit den gewünschten Einstellungen versorgt wird? Hast Du die ACL Exporte einmal verglichen?

    Viele Grüße
    Fabian
    http://blogs.technet.com/deds
    Dienstag, 16. März 2010 16:42
  • Siehe mein erster Post: " ... der Server (also der TS) ist (Mitglied) im AD in der Gruppe "Terminalserver-Lizenzserver", diese hat wiederrum volle "Account Operators"-Rechte --> "Account Operators" wiederrum hat Vollzugriff auf den User.

    Noch eine Idee ?

    Danke & Grüße
    Carsten
    Mittwoch, 17. März 2010 09:34
  • Hallo <weiterhin Unbekannter>

    > Zuerst zu Tobias: Ich habe im Vorfeld alle W2k8-kritischen Verzeichnisse
    > vom AV exkludiert...Warum aber zählt der Lizenzserver nicht mehr mit ?

    Was meinst Du mit: "Warum aber zählt der Lizenzserver nicht mehr mit"

    [..]
    C:\Windows\System32\lls (SBS-Lizenzverzeichnis)
    C:\Windows\System32\licstr.cpa (SBS-Lizenzdatei)
    C:\Windows\System32\LServer (Terminal Server Lizenzverwaltung)
    [..]
    http://www.sbsfaq.de/SBS2003/Exchange2003/SetupundKonfiguration/VonAVScanauszuschliessendeExchangeOrdner/tabid/400/language/de-DE/Default.aspx

    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net


    Mittwoch, 17. März 2010 09:44
  • Hallo Tobias,

    hm, mein Name taucht doch schon diverse Male am Ende meiner Mitteilungen auf ;)
    Zunächst danke für die Antwort. Ich habe nur "LServer" bisher exkludiert, es handelt sich übrigens nicht um einen SBS. Exkludiert habe ich bisher wie folgt:

    [..]
    c:\windows\SoftwareDistribution\Datastore\Datastore.edb
    c:\windows\SoftwareDistribution\Datastore\Logs\Edb*.log
    c:\windows\SoftwareDistribution\Datastore\Logs\Edb.chk
    c:\windows\SoftwareDistribution\Datastore\Logs\Tmp.edb
    c:\windows\SoftwareDistribution\Datastore\Logs\Res*.log
    c:\windows\security\*.edb
    c:\windows\security\*.sdb
    c:\windows\security\*.log
    c:\windows\security\*.chk
    c:\windows\security\database\Security.sdb
    c:\windows\ntds\Ntds.dit
    c:\windows\ntds\Ntds.pat
    c:\windows\ntds\EDB*.log
    c:\windows\ntds\Res1.log
    c:\windows\ntds\Res2.log
    c:\windows\system32\lserver\*.edb
    c:\windows\system32\lserver\*.log
    c:\windows\system32\lserver\*.chk
    [..]

    Mit "mitzählen" meine ich, dass nicht gezählt wird, wenn sich ein User (mit TS-UserCal) anmeldet und dieser damit eine TS-UserCal "verbrennen" sollte. Also bei "Bericht erstellen" bleibt es immer bei "0" verbrauchte Lizenzen...

    Also, immer noch offene Fragen:

    1. AD-Attribut: Reicht "terminalserver" bei W2k3-Domäne trotz W2k8-TS (Memberserver) ?
    2. Warum wird das Attribut *nicht mehr* geschrieben ?
    3. Warum werden TS-UserCals nicht mehr erfasst, seitdem der Lizenzserver reinstalliert wurde ? Es wird immer "0" angezeigt (bei Bericht erstellen).

    Viele Grüße
    Carsten
    Mittwoch, 17. März 2010 10:12
  • Hallo!

    Gab es je eine Lösung für das Problem? Ich habe nämlich das Gleiche. Nach einer korrupten Lizenz-Datenbank und Neuinstallation des Lizenzservers, werden die Lizenzen nicht mehr gezählt. 10 Stück sind installiert und, obwohl 5 User angemeldet sind, sind immer noch 10 verfügbar. Übrigens werden auch keine temporären Lizenzen vergeben.

    Danke für alle Antworten!

    Mfg

     

    Dienstag, 15. Juni 2010 08:42
  • Inzwischen ist mir aufgefallen, dass ganz neue Recher eine Lizenz bekommen. Benenne ich den Hostnamen um, bleibt es allerdings dabei. Ich dachte erst an die IP-Adresse, aber eine Änderung brachte nichts.

    Mfg

     

     

    Mittwoch, 16. Juni 2010 11:26
  • Hi Carsten,
     
    > Zunächst danke für die Antwort. Ich habe nur "LServer" bisher exkludiert,
    > es handelt sich übrigens
    > nicht um einen SBS. Exkludiert habe ich bisher wie folgt:
    >
    > [..]
    > c:\windows\SoftwareDistribution\Datastore\Datastore.edb
    > c:\windows\SoftwareDistribution\Datastore\Logs\Edb*.log
    > c:\windows\SoftwareDistribution\Datastore\Logs\Edb.chk
    > c:\windows\SoftwareDistribution\Datastore\Logs\Tmp.edb
    > c:\windows\SoftwareDistribution\Datastore\Logs\Res*.log
    > c:\windows\security\*.edb
    > c:\windows\security\*.sdb
    > c:\windows\security\*.log
    > c:\windows\security\*.chk
    > c:\windows\security\database\Security.sdb
    > c:\windows\ntds\Ntds.dit
    > c:\windows\ntds\Ntds.pat
    > c:\windows\ntds\EDB*.log
    > c:\windows\ntds\Res1.log
    > c:\windows\ntds\Res2.log
    > c:\windows\system32\lserver\*.edb
    > c:\windows\system32\lserver\*.log
    > c:\windows\system32\lserver\*.chk
    > [..]
     
    Kommt natürlich immer auf den Server und die installierten Rollen und/oder
    Anwendungen an, s z.B.a Einleitung im schon geposteten Artikel.
     
    http://www.sbsfaq.de/SBS2003/Exchange2003/SetupundKonfiguration/VonAVScanauszuschliessendeExchangeOrdner/tabid/400/language/de-DE/Default.aspx
     
     
    > Mit "mitzählen" meine ich, dass nicht gezählt wird, wenn sich ein User
    > (mit TS-UserCal) anmeldet und
    > dieser damit eine TS-UserCal "verbrennen" sollte. Also bei "Bericht
    > erstellen" bleibt es immer bei "0"
    > verbrauchte Lizenzen...
     
    seit wann kann Microsoft User-CALs zählen..? ;)
     
    S.a.:
     
    "Currently, Windows Server 2003 does not manage User CALs. This means that
    even though there is a User CAL in the license server database, the User CAL
    will not be decremented when it is used."
    Source: http://support.microsoft.com/kb/822134/en-us
     
    Da hat sich in 2008 Zeiten IMO aktuell nicht viel geändert..
     
    S.a: http://support.microsoft.com/kb/955425/en-us
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net
     
     
     
    Donnerstag, 17. Juni 2010 16:41