Guten Tag Zusammen,
wir haben hier seit letzter Woche am frühen Morgen immer wieder Probleme an einzelnen Terminalservern unserer Farm. Insgesamt betreiben wir acht identisch installierte Windows Server 2019 (Version 1809 Build 17763.2330).
Seit der Installation der folgenden Patches von Microsoft, gefolgt mit den Service-Releases vom 25.11 treten die Fehler auf:
KB5007206
KB5007885
KB5007406
KB5007266
Das Problem ist:
Die Benutzer nutzen lokal die neuste Version vom Sicherheitspaket. (V.7.2) und möchten Ihre Smartcard auf den Terminalservern verwenden. Hier erkennt das Sicherheitspaket die lokal angesteckten Karten nicht an.
Wir müssen dann immer alle Benutzer vom betroffenen WTS abmelden und diesen Neustarten. Nach dem Neustart ist dann wieder alles in Ordnung.
Im Event-Log des OS finde ich keine passenden Hinweise.
Ein Neustart des Smartcard-Dienstes und des Sicherheitspaketes auf dem WTS hilft nicht.
Der Eilservice der DATEV wurde diese Woche schon kontaktiert. Dort war das Problem nicht bekannt. Die Kollegen habe sich aber auch nicht richtig mit dem Problem auseinander gesetzt.
Hat hier jemand eine Idee, woran es liegen könnte?
Hallo,
ich konnte zwar bislang keinen Zusammenhang zu diesen Updates erkennen aber auch wir haben in den letzten Tagen gehäuft Meldungen erhalten, dass die SmartCards nicht an den Terminalserver durchgereicht werden.
Bislang reichte jedoch meist Ab- und wieder Anmelden vom Terminalserver damit die Karte dann wieder erkannt wurde
Hallo Bjoern,
bis auf KB5007885 haben wir in etwa die gleich Umgebung, allerdings haben wir z.Zt. keine Probleme dahingehend. Unsere Clients bestehen primär aus ThinClients und ein paar wenigen Windows Rechnern.
Gruß Jörg
Wir haben SmartIT (dort Server 2016) und nach Einsatz der seit Anfang November neuen Zugangssoftware mit SiPa 7.2 sowie den aktuellen MS-Updates (wann die auch immer in der SmartIT aufgespielt wurden) häufigere sporadische Verluste der durchgereichten Drucker (erfolgt wohl bei kurzzeitigem Verlust der Verbindung).
Die Erkennung durchgereichter SmartCards wurde bisher aber nicht moniert.
Das Thema ist zwar nicht mit dem hier geschilderten Sachverhalt identisch, es könnten aber durchaus Zusammenhänge bestehen.
Hallo Zusammen,
vielen Dank für eure Feedback. Ich gehe auch eher von einem Bug aus. Frage ist nur: Womit wurde dieser ausgerollt.
Der Programm-Service der DATEV hat mir gerade die folgenden KB-Artikel zur Hilfe gegeben:
1004357
1000206
Ich gehe aber nicht davon aus, dass es ein lokales Problem ist.
Die betroffenen Benutzer starten dann Ihre PCs/ThinClient/Notebooks auch nicht neu.
Durch einen Neustart des WTS hat sich das Problem dann erledigt.
Wir suchen weiter . . .
Guten Morgen Zusammen,
wir haben neue Informationen vorliegen, jedoch keine Lösung.
Wenn wir in einer der betroffenen WTS-Sitzung den PCSC-Test (SCardEstablishContext) durchführen, dann gibt er uns die folgende Meldung: 0x8010001d (Der Smartcard-Ressourcen-Manager wird nicht ausgeführt).
Zur gleichen Zeit kann ich in einer Konsolen-Sitzung am WTS den gleichen Test ausführen. Hier wird mir gemeldet, dass der Dienst reagiert.
anhand des Fehlers vielleicht folgender Hinweis:
[solved] Gpg-agent cannot find key card - Nitrokeys - Nitrokey Support
hier lag es daran, dass der Dienst SCardSvr (unter Dienste als "Smartcard" gelistet) nicht gestartet war.
Vielleicht beim nächsten mal prüfen, ob er am Server oder Client nicht läuft.
Und wenn nicht, eventlog prüfen, wann er abgestürzt ist.
Hallo Andreas,
wenn es doch so einfach wäre . . .
Der Dienst läuft. Das wäre ja auch die erste Anlaufstation!
Gestern war auf dem betroffenen WTS alles in Ordnung.
Über Nacht wurde der WTS nicht neu gestartet. Das Event-Log ist sauber: Zumindest finde ich in den letzten 24 Stunden keinen Absturz des Dienstes. Lediglich mein manueller Neustart des Dienstes ist protokolliert!
Die folgenden Artikel bin ich jetzt auch komplett durch gegangen:
https://apps.datev.de/help-center/documents/1016722
https://apps.datev.de/help-center/documents/1000206
Nur wenn man die beiden Artikel verfolgt, dann dreht man sich im Kreis . . .
Hallo @bjoern,
0x8010001d in einer WTS-Sitzung bedeutet meistens dass der Client keine SmartCard mitbringt - das trifft ja nach der Beschreibung nicht zu. Wenn es generell alle Clients betrifft kann es auch eine Konfiguration am Server sein - trifft ebenfalls nicht zu.
Gibt es im Fehlerfall auch Probleme mit anderen RDP-Umleitungen (Drucker, Laufwerke..)? Ich kann nicht sagen welche Dienste das genaue wären und eine echte Lösung ist es auch nicht, aber vielleicht reicht es die RDP-Dienst neu zu starten?
Vielleicht hilft der aktuelle MS-Patach-Day von gestern?
Hallo Andreas,
das ist auch meine Hoffnung: Updates vom Dezember plus die nächsten Service-Releases und Hotfixes.
Diese werde ich am Wochenende ausrollen - vorausgesetzt die DATEV gibt die Freigabe.
In der Tat telefoniere ich auch im Moment mit der DATEV: Die Kollegen haben aktuell leider auch keinen Ansatz.
Gruß
Die DATEV-Updates werden allerdings nichts an der Situation ändern. Das 'Reinreichen' der SmartCard erfolgt rein durch RDP. PCSC-Test testet das auf Betriebssystem-Ebene unabhängig vom Sicherheitspaket.
Ich hoffe Ihr Problem löst sich durch die Windows-Updates, wenn nicht werden wir Ihnen wahrscheinlich nicht helfen können und Sie müssen sich an Microsoft wenden. Aber aufgrund des Thread-Titels ist Ihnen das wahrscheinlich schon bewusst.
Hallo Zusammen,
ich lehne mich einmal ganz vorsichtig aus dem Fenster: Seit dem Wochenende haben wir das Problem nicht mehr gesehen. Woran es aber jetzt final gelegen hat kann ich nicht sagen!
Gruß
Das Thema hat sich wohl doch nicht erledigt. Wir eröffnen jetzt ein Ticket bei Microsoft!
Wenn ich Neuigkeiten habe, melde ich mich noch einmal.
Hallo Zusammen,
jetzt hatten wir doch tatsächlich knapp 2 Monate Ruhe und die WTS liefen wie am Schnürchen.
Heute früh wollten plötzlich 2 von unseren 10 Terminalservern keine Smart-Cards mehr annehmen.
Erneut war das Verhalten nach einem Neustart der WTS verschwunden.
Mehr Informationen liegen mir leider nicht vor.
Gruß