corrben
Goto Top

Einzelne Dateien verschwinden unter Citrix XenApp

Hallo zusammen,

wir haben seit mehreren Monaten das Phänomen, dass vereinzelt bei Usern einzelne Dateien verschwinden. Anfangs war es auf eine Stundenzettel-Datei (ohne Makros oder gleichen) einzugrenzen, mittlerweile betrifft es auch andere Dateien. Ich gehe von aus, dass dies die ganze Zeit der Fall war, aber nur der Stundenzettel auffiel, da diese Datei täglich geändert wird.

Folgende Umgebung betrifft es:
- Fileserver mit zentral gespeicherten Benutzerprofilen
- 3 Citrix XenApp-Server, welche vollständie Desktops bereitstellen
- Citrix Profileverwaltung 4.1.2 auf allen Servern
- Kaspersky Anti-Virus auf allen Servern, diese ist aber auszuschließen

Ich habe eine Überwachung für den Objektzugriff auf die Benutzerprofile eingerichtet. In den Eventlogs ist ein Eintrag zu finden, dass der Zugriff "DELETE" auf diese Datei ausgeführt wird. Mir ist aber nicht klar, wodurch dieser Vorgang initiiert wird?

Als Sicherheits-ID steht der Domänen-Anmeldename des Eigentümers (User) mit dabei, als ob der Vorgang durch ihn ausgelöst wurde, was aber nicht der Fall ist.

Szenario:

- User meldet sich an
- zugehöriges Profil wird auf dem Fileserver gesucht und lokal auf den XenApp-Server kopiert, auf den der User angemeldet wurde
- User arbeitet normal in den Dateien, schreibt kurz vor Abmelden der Sitzung seine Stundenzettel in seine Datei
- User meldet sich ab
- Profil wird zurück in den Profilspeicher auf den Fileserver kopiert

Beim zurückkopieren in den Profilspeicher tritt dieses Problem auf. 1x konnte ich es nachstellen, beim 2. Mal ging es nicht mehr. Der User ändert eine Datei, meldet sich ab und dann verschwindet sie. Das ganze betrifft auch wirklich NUR Dateien, welche geändert wurden. Speichere ich die gleiche Datei unter einem anderen Namen, lege sie woanders hin und greife nicht drauf zu, bleibt diese auch dauerhaft erhalten. Erst, wenn ich die Datei wieder anfasse und bearbeite, kommt es wieder zu Problemen.

Ich finde nirgends einen Hinweis auf den Grund der Lösch-Aktion. Weder in den Windows Event-Logs, noch in den Kaspersky-Protokollen oder sonst irgendwo.

Ich habe mittlerweile verschiedene Quellen befragt, aber niemand hat hier mehr eine Idee, daher nun mal die Frage hier in die Runde. Vielleicht/Hoffentlich hat hier jemand noch eine passende Idee, ich habe langsam keine Idee mehr face-sad

Content-ID: 206851

Url: https://administrator.de/contentid/206851

Ausgedruckt am: 25.11.2024 um 14:11 Uhr

SlainteMhath
SlainteMhath 22.05.2013 um 15:56:59 Uhr
Goto Top
Moin,

solche Phänomene kenne ich nur von sich gegenseitig überschreibenden Profilen.

Meldet sich jeder Benutzer mit einem eigenen Account an? Ist der veröffentliche Desktop auf eine Instanz pro User beschränkt?

lg,
Slainte
Corrben
Corrben 22.05.2013 um 16:05:53 Uhr
Goto Top
Ja, jeder User hat seinen eigenen personenbezogenen Account und die Instanz-Anzahl unter XenApp für den Desktop ist auf 1 beschränkt. Wenn der User bereits angemeldet ist, bekommt er beim 2. Mal eine Fehlermeldung, dass bereits eine Instanz offen ist.
fnord2000
fnord2000 22.05.2013 um 16:19:06 Uhr
Goto Top
Zitat von @SlainteMhath:
Moin,

solche Phänomene kenne ich nur von sich gegenseitig überschreibenden Profilen.


Sollte dann aber nicht die Datei weiterhin vorhanden sein und lediglich mit einer veralteten Version überschrieben werden?


Profil am Arbeitsplatz selbst ist auch servergespeichert, oder lokal? Anderer Pfad?
Corrben
Corrben 22.05.2013 um 16:24:48 Uhr
Goto Top
Viele Leute - so wie die betroffenen User - haben nur ThinClients und demnach auch nur das Servergespeicherte Profil.

Profile auf Notebooks/Workstations sind jedoch lokal gespeichert. Hier geht auch nichts verloren.
thergermandubliner
thergermandubliner 22.05.2013 aktualisiert um 16:58:29 Uhr
Goto Top
fnord2000
fnord2000 23.05.2013 um 10:16:24 Uhr
Goto Top
Zitat von @Corrben:
Viele Leute - so wie die betroffenen User - haben nur ThinClients und demnach auch nur das Servergespeicherte Profil.

Die Frage ist doch eher: Liegt das servergespeicherte Profil für die ThinClients in einem anderen Pfad, als das servergespeicherte Profil für die Remote-Anmeldung?


Bestehen evtl. Rechteprobleme auf den Profil-Verzeichnissen, wodurch die Dateien nicht mehr auf den Server gespeichert werden können?
BlackT
BlackT 23.05.2013 um 22:32:57 Uhr
Goto Top
Hallo,
Wo liegen die verschwindenden Dateien? Auf dem Desktop oder in den Eigenen Dateien?
Werden Desktop / Eigene Dateien per GPO umgeleitet ? Wenn nein, eventuell ist das eine Option um die Profilüberschreiberei zu unterbinden.
Viele Grüße
Tino
Corrben
Corrben 24.05.2013 um 07:03:04 Uhr
Goto Top
Zitat von @BlackT:
Hallo,
Wo liegen die verschwindenden Dateien? Auf dem Desktop oder in den Eigenen Dateien?
Werden Desktop / Eigene Dateien per GPO umgeleitet ? Wenn nein, eventuell ist das eine Option um die Profilüberschreiberei zu
unterbinden.
Viele Grüße
Tino

Sowohl aus auch. Die Dateien liegen irgendwo im eigenen Profil. Es wird immer das komplette Profil kopiert, Ordner werden keine umgeleitet.

User meldet sich an, Profil wird vom Profilspeicher auf den angemeldeten XenApp-Server kopiert, User meldet sich abends irgendwann wieder ab, Profil wird zurück in den Profilspeicher geschrieben und das Profil wird vom XenApp-Server nach ein paar Minuten gelöscht. Das ist so der Vorgang des Profilmanagers von Citrix.



Das haben wir auch mal vor ein paar Monaten getestet, aber auch hier wurde nichts angezeigt. Ich lasse es aber noch Mal mitlaufen.
Corrben
Corrben 19.07.2013 aktualisiert um 12:04:34 Uhr
Goto Top
Frage: Kann ich Procmon so einstellen, dass er die Logs nicht auf C:\ schreibt, sondern auf eine andere Partition? Ich habe Procmon mal ausgeführt und irgendwann ist mir die Systempartition vollgelaufen.

EDIT: Oder ist es möglich die ungefilterten Events direkt wieder zu löschen, sodass nur die Events behalten werden, auf die der Filter zutrifft?
Corrben
Corrben 19.07.2013 um 10:36:37 Uhr
Goto Top
Ich habe hier mal einen original Log-Eintrag:

Es wurde versucht, auf ein Objekt zuzugreifen.

Antragsteller:
Sicherheits-ID: DOMÄNE\USER1
Kontoname: USER1
Kontodomäne: DOMÄNE
Anmelde-ID: 0x19d013xxx

Objekt:
Objektserver: Security
Objekttyp: File
Objektname: E:\{Pfad zur Datei}\Excel-Tabelle.xlsx
Handle-ID: 0x4634

Prozessinformationen:
Prozess-ID: 0x4
Prozessname:

Zugriffsanforderungsinformationen:
Zugriffe: DELETE

Zugriffsmaske: 0x10000
thergermandubliner
thergermandubliner 19.07.2013 um 15:45:04 Uhr
Goto Top
Hi,
kannst du schauen, was zur gleichen Zeit in den UPM logs geschrieben wird (oder kurz davor)?

http://support.citrix.com/article/CTX126723

Danke
Tom
Corrben
Corrben 14.08.2013 aktualisiert um 16:06:15 Uhr
Goto Top
So, ich habe mich wieder etwas mit dem Thema beschäftigt. Mittlerweile stellte sich raus, dass auch andere Dateien verschwinden, bisher auch pptx oder docx Dateien.

In den Windows Logs habe ich einen Eintrag gefunden:

Ereignis-ID: 4663
Ereignis:

Es wurde versucht, auf ein Objekt zuzugreifen.

Antragsteller:
Sicherheits-ID: DOMÄNE\USER
Kontoname: USER
Kontodomäne: DOMÄNE
Anmelde-ID: 0x1a7a5a9a2

Objekt:
Objektserver: Security
Objekttyp: File
Objektname: E:\{...Pfad zur Datei...}\Datei.xlsx
Handle-ID: 0x5718

Prozessinformationen:
Prozess-ID: 0x4
Prozessname:

Zugriffsanforderungsinformationen:
Zugriffe: DELETE

Zugriffsmaske: 0x10000


Analog dazu sehe ich in den XenApp Logs folgendes:

2013-08-12;15:19:51.904;INFORMATION;HRS;USER;18;28300;CheckIfMirroredFilesOutOfSync: Destination file <\\Profilspeicher\profile\USER\UPM_Profile\Desktop\Datei.xlsx> is older than source file <C:\Users\USER\Desktop\Datei.xlsx>.
2013-08-12;15:19:51.904;INFORMATION;HRS;USER;18;28300;CopyFileWithRetries: Copied a file from: <C:\Users\USER\Desktop\Datei.xlsx> to <\\Profilspeicher\profile\USER\UPM_Profile\Desktop\Datei.xlsx>.


scheinbar kopiert das Profilmanagement die Dateien sauber zurück in den Profilspeicher, nachdem der User sich abmeldet. Auf dem Fileserver hingegen sagt der Zugriffsversuch "DELETE" wohl aus, dass die DAtei gelöscht wird, frage ist nur, warum!