Microsoft Hulp op Afstand als alternatief voor Citrix Shadowing?

Bij steeds meer klanten krijg ik de klacht dat Citrix Shadowing niet lekker (meer) werkt. Een de ene kant loopt men tegen veel bugs aan (zwarte dos-prompts, niet afsluiten van shadowsessies) aan de andere kant loopt men tegen restricties aan die Microsoft in het Windows 2008 platform heeft gebakken, waaronder het niet kunnen shadowen van gebruikers met een andere monitor configuratie dan jezelf hebt.

Op zoek naar een alternatief liep ik tegen Hulp op Afstand aan. Deze bestaat al een tijdje, maar was in het verleden nou niet echt heel handig in gebruik. Toegeven, ook de huidige versie heeft nog een onhandigheid, maar werkt voor de rest wel naar behoren. De onhandigheid zit hem in het feit dat je eerst een server moet selecteren, alvorens je een lijst gebruikers ziet (die op die server zitten). Je moet dus van te voren weten waar de gebruiker zit.

Hoe configureer je dit

Als eerste moet je op al je XenApp servers de ‘Hulp op Afstand’ (Remote Assistance)-feature installeren. Dit kan eenvoudig met een tweetal powershell commando’s en de server hoeft er niet voor te rebooten. Tevens moet deze feature worden geïnstalleerd op de server waarvandaan je de gebruikers wil overnemen (tenzij dit een Windows Vista of Windows 7 desktop is, daar is deze feature standaard al op geïnstalleerd).

Import-Module Servermanager
Add-WindowsFeature Remote-Assistance

imageVervolgens moet je via een GPO Remote Assistance configureren op de XenApp servers, zodat een beperkte groep gebruikers dit ook kan doen op die server. Voer daarvoor de volgende instellingen door:

Computer Configuration/Policies/Administrative Tempates/System/Remote Assistance

  • Offer Remote Assistance: Enabled
    • Helpers: De users of usergroep die rechten hebben om anderen te schaduwen, bv HomeLab\App-Shadowing
  • Solicited Remote Assistance: Disabled (voorkomt dat gebruikers zelf om Hulp of Afstand kunnen vragen)
  • Allow only Vista or later connections: Zorgt ervoor dat er een meer secure verbinding wordt opgebouwd voor de schadow-sessie door af te dwingen dat alleen de nieuwe Hulp op Afstand clients gebruikt mogen worden
  • Turn on bandwidth optimization: Zorgt voor een betere schaduw-sessie. Door alleen de background uit te schakelen, blijft er een goed zichtbare sessie over met minimale compressie. Voor gebruik op een LAN zou dat dit geen probleem mogen zijn.

Vergeet na het aanmaken van de GPO geen GPUPDATE /FORCE uit te voeren op de servers of een tijdje te wachten, alvorens je hulp op afstand wil bieden, anders weigert Windows nog een verbinding op te bouwen.

Voor omgevingen waar RES Workspace Manager (of RES Powerfuse) actief is met Appguard en/of Read only blanketing aktief, moeten de volgende rules worden opgenomen om Hulp op afstand werkend te krijgen (doe je dit niet, dan krijg je de melding dat het opbouwen van een sessie is mislukt of de gebruiker de verbinding niet toestond):

image

msra.exe en raserver.exe willen beiden in ieder geval modify rechten tot c:\windows en c:\windows\system32. Een veiligere rule zou dus ook zijn om c:\windows\* te gebruiken en daar read/execute/modify rechten op te geven. Heb helaas nog niet de tijd gehad om dit verder te ‘verkleinen’.

Hoe gebruik je het?

Om vervolgens Hulp op Afstand te kunnen starten, kun je een shortcut aanmaken naar msra.exe met als parameter /offerra. Dit opent direct het scherm (1) om hulp te bieden met de vraag naar welke server (of pc) je wil connecten. Type de naam van de server of selecteer de server uit de lijst van eerder gekozen servers. remote-assistanceHierna verschijnt een (2) lijst van gebruikers die op deze server zijn ingelogd. Selecteer de gebruiker die je wilt overnemen in de dropdown-box en druk op Next. Je krijgt nu een wit vlak te zien met een paar opties bovenin. Deze opties blijven greyed-out totdat de gebruiker de verbinding heeft geaccepteerd. De gebruiker krijgt op dit moment het verzoek (3) met de naam van de beheerder in beeld. Nadat hij heeft geaccepteerd krijg jij het scherm (4) van de gebruiker te zien en krijgt de gebruiker een taakbalk in beeld ten teken dat hij geschaduwd wordt. Als de gebruiker 2 monitoren heeft, krijg je beide schermen in je beeld, als één groot ‘scherm’. Als je de gebruik wil overnemen klik je op de knop ‘Request Control’, de gebruiker (5) krijgt nu de vraag of hij toestaat dat jij de muis en toetsenbord overneemt. De optie ‘Hiermee kan [beheerder] reageren op UAC’ kan de gebruiker aanvinken als hij ook toestaat dat jij als beheerder eventuele UAC meldingen te zien mag krijgen.

Andere mogelijkheden:

  • Actual size: Geeft de schermen van de gebruiker op ware resolutie weer. Als de gebruiker een groter scherm heeft dan op jou display past, verschijnen er scrollbalken om het beeld.
  • Chat: Geeft de mogelijkheid om met de gebruiker te chatten

Hulp op afstand geeft alle schermen in de taal waarop de gebruiker (of beheerder) Windows heeft ingesteld.

Office Voorbeeldweergave (Preview Pane) werkt niet vanwege een fout.

Ik werd vandaag door een klant gewezen op het feit, dat de net geinstalleerde versie van Office 2007 op Windows 2008 R2 een probleem heeft. Als je een bestand wil openen binnen Word 2007 en je klikt op de button voor het preview window, dan kan Word 2007 geen preview geven van Word documenten (welke versie dan ook)

Preview van Excel documenten in dit venster gaat goed. Het preview venster van Excel en de Verkenner kunnen ook gewoon een voorbeeld geven van een Word document. Het preview venster van Excel kan echter geen preview geven van Excel documenten. Het lijkt er dus op dat het preview venster niet werkt voor documenten van de applicatie waar je in zit.

Gaan we verder kijken en kijken we naar Word 2010 op Windows 7 32-bit (waarvan je zou verwachten dat het geen probleem is), dan zien we hetzelfde probleem. Het probleem is in Office 2010 dus nog niet opgelost ! (overigens zien we in dit screenshot ook gelijk een probleem met een engels OS en een NL versie van Office 2010).

Vreemd dat Microsoft dit probleem nog niet heeft opgelost in de laatste editie van Office. Zeker omdat het probleem al bij ze bekend is en ook de oplossing al bekend is bij Microsoft. Een kleine zoekopdracht op Google levert als eerste een berg aan forum berichten met hetzelfde probleem. Uiteindelijk kom je bij Microsoft zelf uit die het probleem omschreven heeft met Office 2007 in Windows Vista (http://support.microsoft.com/kb/928149). Daar staat ook een oplossing:

Om het probleem op te lossen doe je het volgende:

  • Open een administrative command prompt
  • Type in regsvr32 %systemroot%\system32\actxprxy.dll
  • Type in regsvr32 %systemroot%\system32\propsys.dll

Deze oplossing werkt echter niet altijd. Verder onderzoek levert op dat het mogelijk in een plug-in zit. Controleer de plugins en schakel ze één voor één uit om te kijken wanneer het preview venster weer werkt.

Dit kun je doen door te gaan naar:

  • Kies voor Bestand of de Office-knop (afhankelijk of je Office 2010 of Office 2007 hebt)
  • Vervolgens kies je voor Opties en daarna voor Invoegtoepassingen
  • Kies onderaan bij Beheren voor Word-Invoegtoepassingen en druk op Start

  • In het venster wat nu opent kun je invoegtoepassingen in en uitschakelen door het hokje voor elke invoegtoepassing aan of uit te vinken.

 

Test na het uitvinken van een invoegtoepassing of het preview venster het weer doet. Als je de invoegtoepassing hebt gevonden die het probleem veroorzaakt, heb je 2 opties:

  1. Weer inschakelen en leven met het probleem dat het preview venster het niet doet.
  2. Uitschakelen en de leverancier van de invoegtoepassing waarschuwen en vragen het probleem op te lossen.

KMS problemen oplossen (troubleshooting)

Een KMS (Key Management Service) infrastructuur kan enkele problemen hebben. In deze blog doorlopen we een aantal problemen die kunnen optreden met KMS servers.

Meerdere KMS servers en hoe deze te verwijderen

Kijk altijd wat Windows je aangeeft op het moment dat je een KMS client key denkt in te voeren. Op het moment dat Windows meldt dat je een KMS. Op het moment dat je onderstaande melding krijgt ben je een KMS server aan het inrichten. Bij meerdere KMS servers kan er een probleem ontstaan in je infrastructuur (bv. te weinig servers bij één KMS server waardoor deze geen geen enkele server activeert). Als je een KMS client key invoert krijg je onderstaande melding nooit te zien.

Heb je toch per ongeluk meerdere KMS servers ingevoerd of wil je een KMS server verwijderen, doorloop dan de volgende stappen:

  1. Stop het registreren van de server die je wilt verwijderen, in de DNS. Dit kun je doen door het volgende commando in een elevated command –venster uit te voeren: slmgr -cdns
  2. Verwijder vervolgens de KMS server handmatig uit de DNS. Je kunt ze vinden in de DNS management console -> node: domain controller – domain name – _tcp. Hierin staan DNS entries die beginnen met _VLMCS. De entry met de servernaam die je wil verwijderen, kun je hier handmatig verwijderen.
  3. Controleer op de server of de DNS al verwijderd is op de gebruikte DNS server (hou rekening met replicatie) dmv. het commando: nslookup -type=srv _vlmcs._tcp.<your DNS domain>

    Deze geeft een lijst van alle DNS entries van KMS servers. De KMS server die je wil verwijderen zou hier nu niet meer bij mogen staan.

  4. De-registreer de KMS server key van de server via: slmgr –upk
  5. Registreer een KMS client key via: slmgr –ipk [kms clientkey]
  6. Activeer de machine via: slmgr –ato
  7. De server zal zich nu als KMS client gedragen en zichzelf activeren bij de andere KMS servers.

Kms server komt niet in de DNS

De 1ste KMS server die je wil installeren komt over het algemeen automatisch in de DNS terecht. Bij meer KMS servers wil het nog wel eens gebeuren, dat andere KMS servers zich niet in de DNS willen registreren. Controleer eerst of dit komt omdat de KMS server gewoon niet weet dat hij zich moet registreren. Type daarvoor het commande slmgr –sdns en reboot daarna de server.

Mocht dit niet werken, dan kan het dat de security rechten op de service entry in de DNS niet goed staan. Los dit op door de volgende stappen te doorlopen:

  1. Open je DNS management console en ga naar de _tcp node onder je domeinnaam (linkerkant).
  2. Vraag de properties op een van de _VLMCS records die al in de DNS staan.
  3. Ga naar het tabblad Security
  4. Voeg hier het computeraccount toe van de KMS server die zich niet wil registreren en geef dit computer account full control.
  5. Reboot de KMS server die je wil toevoegen
  6. Als het goed is, registreert de machine zich nu wel in de DNS

Client kan de KMS server niet vinden (Handmatig client naar een KMS server verwijzen)

Het kan soms gebeuren dat een client geen KMS server kan vinden. Check daarvoor eerst of de client wel de entries in de DNS kan vinden (en of er wel service record entries van de KMS server in de DNS staan). Dit kun je doen via het commando: nslookup -type=srv _vlmcs._tcp.<your DNS domain>

Mocht deze geen entries geven, registreer dan de DNS server opnieuw in de DNS (slmgr –sdns op de KMS server en reboot de KMS server) en check of er geen problemen zijn met de security rechten in de DNS.

Werkt dat allemaal niet of kan er geen KMS service record in de DNS server worden gezet, dan kun je een client handmatig aan een KMS server toekennen. Dit kan ook handig zijn als je meerdere KMS servers hebt en je om een reden een bepaalde groep pc’s altijd naar een bepaalde KMS server wil laten verwijzen. Doorloop daarvoor de volgende stappen:

  1. Geef de KMS server op aan de client. Dit kun je doen via het commando: slmgr –skms [servernaam of ipadres] . Mocht je de KMS server niet op de default poort hebben geinstalleerd, gebruik dan: slmgr –skms [servernaam of ipadres]:[poortnummer]

    De client zal de volgende melding geven:

  2. Registreer nu de client via: slmgr –ato

Client registreert zich altijd bij een bepaalde KMS server en weigert de KMS server in de DNS te gebruiken

In dit geval is vermoedelijk de hierboven genoemde methode gebruikt om de client naar een bepaalde KMS server te verwijzen. Hij zal dan niet meer terugvallen op een andere KMS server in de DNS als de opgegeven server niet bereikbaar is. Dit kun je opheffen door het commande: slmgr –ckms te gebruiken.