Microsoft Hulp op Afstand als alternatief voor Citrix Shadowing?

Geplaatst op door

Bij steeds meer klanten krijg ik de klacht dat Citrix Shadowing niet lekker (meer) werkt. Een de ene kant loopt men tegen veel bugs aan (zwarte dos-prompts, niet afsluiten van shadowsessies) aan de andere kant loopt men tegen restricties aan die Microsoft in het Windows 2008 platform heeft gebakken, waaronder het niet kunnen shadowen van gebruikers met een andere monitor configuratie dan jezelf hebt.

Op zoek naar een alternatief liep ik tegen Hulp op Afstand aan. Deze bestaat al een tijdje, maar was in het verleden nou niet echt heel handig in gebruik. Toegeven, ook de huidige versie heeft nog een onhandigheid, maar werkt voor de rest wel naar behoren. De onhandigheid zit hem in het feit dat je eerst een server moet selecteren, alvorens je een lijst gebruikers ziet (die op die server zitten). Je moet dus van te voren weten waar de gebruiker zit.

Hoe configureer je dit

Als eerste moet je op al je XenApp servers de ‘Hulp op Afstand’ (Remote Assistance)-feature installeren. Dit kan eenvoudig met een tweetal powershell commando’s en de server hoeft er niet voor te rebooten. Tevens moet deze feature worden geïnstalleerd op de server waarvandaan je de gebruikers wil overnemen (tenzij dit een Windows Vista of Windows 7 desktop is, daar is deze feature standaard al op geïnstalleerd).

Import-Module Servermanager
Add-WindowsFeature Remote-Assistance

imageVervolgens moet je via een GPO Remote Assistance configureren op de XenApp servers, zodat een beperkte groep gebruikers dit ook kan doen op die server. Voer daarvoor de volgende instellingen door:

Computer Configuration/Policies/Administrative Tempates/System/Remote Assistance

  • Offer Remote Assistance: Enabled
    • Helpers: De users of usergroep die rechten hebben om anderen te schaduwen, bv HomeLab\App-Shadowing
  • Solicited Remote Assistance: Disabled (voorkomt dat gebruikers zelf om Hulp of Afstand kunnen vragen)
  • Allow only Vista or later connections: Zorgt ervoor dat er een meer secure verbinding wordt opgebouwd voor de schadow-sessie door af te dwingen dat alleen de nieuwe Hulp op Afstand clients gebruikt mogen worden
  • Turn on bandwidth optimization: Zorgt voor een betere schaduw-sessie. Door alleen de background uit te schakelen, blijft er een goed zichtbare sessie over met minimale compressie. Voor gebruik op een LAN zou dat dit geen probleem mogen zijn.

Vergeet na het aanmaken van de GPO geen GPUPDATE /FORCE uit te voeren op de servers of een tijdje te wachten, alvorens je hulp op afstand wil bieden, anders weigert Windows nog een verbinding op te bouwen.

Voor omgevingen waar RES Workspace Manager (of RES Powerfuse) actief is met Appguard en/of Read only blanketing aktief, moeten de volgende rules worden opgenomen om Hulp op afstand werkend te krijgen (doe je dit niet, dan krijg je de melding dat het opbouwen van een sessie is mislukt of de gebruiker de verbinding niet toestond):

image

msra.exe en raserver.exe willen beiden in ieder geval modify rechten tot c:\windows en c:\windows\system32. Een veiligere rule zou dus ook zijn om c:\windows\* te gebruiken en daar read/execute/modify rechten op te geven. Heb helaas nog niet de tijd gehad om dit verder te ‘verkleinen’.

Hoe gebruik je het?

Om vervolgens Hulp op Afstand te kunnen starten, kun je een shortcut aanmaken naar msra.exe met als parameter /offerra. Dit opent direct het scherm (1) om hulp te bieden met de vraag naar welke server (of pc) je wil connecten. Type de naam van de server of selecteer de server uit de lijst van eerder gekozen servers. remote-assistanceHierna verschijnt een (2) lijst van gebruikers die op deze server zijn ingelogd. Selecteer de gebruiker die je wilt overnemen in de dropdown-box en druk op Next. Je krijgt nu een wit vlak te zien met een paar opties bovenin. Deze opties blijven greyed-out totdat de gebruiker de verbinding heeft geaccepteerd. De gebruiker krijgt op dit moment het verzoek (3) met de naam van de beheerder in beeld. Nadat hij heeft geaccepteerd krijg jij het scherm (4) van de gebruiker te zien en krijgt de gebruiker een taakbalk in beeld ten teken dat hij geschaduwd wordt. Als de gebruiker 2 monitoren heeft, krijg je beide schermen in je beeld, als één groot ‘scherm’. Als je de gebruik wil overnemen klik je op de knop ‘Request Control’, de gebruiker (5) krijgt nu de vraag of hij toestaat dat jij de muis en toetsenbord overneemt. De optie ‘Hiermee kan [beheerder] reageren op UAC’ kan de gebruiker aanvinken als hij ook toestaat dat jij als beheerder eventuele UAC meldingen te zien mag krijgen.

Andere mogelijkheden:

  • Actual size: Geeft de schermen van de gebruiker op ware resolutie weer. Als de gebruiker een groter scherm heeft dan op jou display past, verschijnen er scrollbalken om het beeld.
  • Chat: Geeft de mogelijkheid om met de gebruiker te chatten

Hulp op afstand geeft alle schermen in de taal waarop de gebruiker (of beheerder) Windows heeft ingesteld.