12
Einzelne Dateien verschwinden unter Citrix XenApp
Hallo zusammen,
wir haben seit mehreren Monaten das Phänomen, dass vereinzelt bei Usern einzelne Dateien verschwinden. Anfangs war es auf eine Stundenzettel-Datei (ohne Makros oder gleichen) einzugrenzen, mittlerweile betrifft es auch andere Dateien. Ich gehe von aus, dass dies die ganze Zeit der Fall war, aber nur der Stundenzettel auffiel, da diese Datei täglich geändert wird.
Folgende Umgebung betrifft es:
- Fileserver mit zentral gespeicherten Benutzerprofilen
- 3 Citrix XenApp-Server, welche vollständie Desktops bereitstellen
- Citrix Profileverwaltung 4.1.2 auf allen Servern
- Kaspersky Anti-Virus auf allen Servern, diese ist aber auszuschließen
Ich habe eine Überwachung für den Objektzugriff auf die Benutzerprofile eingerichtet. In den Eventlogs ist ein Eintrag zu finden, dass der Zugriff "DELETE" auf diese Datei ausgeführt wird. Mir ist aber nicht klar, wodurch dieser Vorgang initiiert wird?
Als Sicherheits-ID steht der Domänen-Anmeldename des Eigentümers (User) mit dabei, als ob der Vorgang durch ihn ausgelöst wurde, was aber nicht der Fall ist.
Szenario:
- User meldet sich an
- zugehöriges Profil wird auf dem Fileserver gesucht und lokal auf den XenApp-Server kopiert, auf den der User angemeldet wurde
- User arbeitet normal in den Dateien, schreibt kurz vor Abmelden der Sitzung seine Stundenzettel in seine Datei
- User meldet sich ab
- Profil wird zurück in den Profilspeicher auf den Fileserver kopiert
Beim zurückkopieren in den Profilspeicher tritt dieses Problem auf. 1x konnte ich es nachstellen, beim 2. Mal ging es nicht mehr. Der User ändert eine Datei, meldet sich ab und dann verschwindet sie. Das ganze betrifft auch wirklich NUR Dateien, welche geändert wurden. Speichere ich die gleiche Datei unter einem anderen Namen, lege sie woanders hin und greife nicht drauf zu, bleibt diese auch dauerhaft erhalten. Erst, wenn ich die Datei wieder anfasse und bearbeite, kommt es wieder zu Problemen.
Ich finde nirgends einen Hinweis auf den Grund der Lösch-Aktion. Weder in den Windows Event-Logs, noch in den Kaspersky-Protokollen oder sonst irgendwo.
Ich habe mittlerweile verschiedene Quellen befragt, aber niemand hat hier mehr eine Idee, daher nun mal die Frage hier in die Runde. Vielleicht/Hoffentlich hat hier jemand noch eine passende Idee, ich habe langsam keine Idee mehr
wir haben seit mehreren Monaten das Phänomen, dass vereinzelt bei Usern einzelne Dateien verschwinden. Anfangs war es auf eine Stundenzettel-Datei (ohne Makros oder gleichen) einzugrenzen, mittlerweile betrifft es auch andere Dateien. Ich gehe von aus, dass dies die ganze Zeit der Fall war, aber nur der Stundenzettel auffiel, da diese Datei täglich geändert wird.
Folgende Umgebung betrifft es:
- Fileserver mit zentral gespeicherten Benutzerprofilen
- 3 Citrix XenApp-Server, welche vollständie Desktops bereitstellen
- Citrix Profileverwaltung 4.1.2 auf allen Servern
- Kaspersky Anti-Virus auf allen Servern, diese ist aber auszuschließen
Ich habe eine Überwachung für den Objektzugriff auf die Benutzerprofile eingerichtet. In den Eventlogs ist ein Eintrag zu finden, dass der Zugriff "DELETE" auf diese Datei ausgeführt wird. Mir ist aber nicht klar, wodurch dieser Vorgang initiiert wird?
Als Sicherheits-ID steht der Domänen-Anmeldename des Eigentümers (User) mit dabei, als ob der Vorgang durch ihn ausgelöst wurde, was aber nicht der Fall ist.
Szenario:
- User meldet sich an
- zugehöriges Profil wird auf dem Fileserver gesucht und lokal auf den XenApp-Server kopiert, auf den der User angemeldet wurde
- User arbeitet normal in den Dateien, schreibt kurz vor Abmelden der Sitzung seine Stundenzettel in seine Datei
- User meldet sich ab
- Profil wird zurück in den Profilspeicher auf den Fileserver kopiert
Beim zurückkopieren in den Profilspeicher tritt dieses Problem auf. 1x konnte ich es nachstellen, beim 2. Mal ging es nicht mehr. Der User ändert eine Datei, meldet sich ab und dann verschwindet sie. Das ganze betrifft auch wirklich NUR Dateien, welche geändert wurden. Speichere ich die gleiche Datei unter einem anderen Namen, lege sie woanders hin und greife nicht drauf zu, bleibt diese auch dauerhaft erhalten. Erst, wenn ich die Datei wieder anfasse und bearbeite, kommt es wieder zu Problemen.
Ich finde nirgends einen Hinweis auf den Grund der Lösch-Aktion. Weder in den Windows Event-Logs, noch in den Kaspersky-Protokollen oder sonst irgendwo.
Ich habe mittlerweile verschiedene Quellen befragt, aber niemand hat hier mehr eine Idee, daher nun mal die Frage hier in die Runde. Vielleicht/Hoffentlich hat hier jemand noch eine passende Idee, ich habe langsam keine Idee mehr
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 206851
Url: https://administrator.de/contentid/206851
Ausgedruckt am: 05.11.2024 um 11:11 Uhr
12 Kommentare
Neuester Kommentar
Moin,
solche Phänomene kenne ich nur von sich gegenseitig überschreibenden Profilen.
Meldet sich jeder Benutzer mit einem eigenen Account an? Ist der veröffentliche Desktop auf eine Instanz pro User beschränkt?
lg,
Slainte
solche Phänomene kenne ich nur von sich gegenseitig überschreibenden Profilen.
Meldet sich jeder Benutzer mit einem eigenen Account an? Ist der veröffentliche Desktop auf eine Instanz pro User beschränkt?
lg,
Slainte
Ja, jeder User hat seinen eigenen personenbezogenen Account und die Instanz-Anzahl unter XenApp für den Desktop ist auf 1 beschränkt. Wenn der User bereits angemeldet ist, bekommt er beim 2. Mal eine Fehlermeldung, dass bereits eine Instanz offen ist.
Zitat von @SlainteMhath:
Moin,
solche Phänomene kenne ich nur von sich gegenseitig überschreibenden Profilen.
Moin,
solche Phänomene kenne ich nur von sich gegenseitig überschreibenden Profilen.
Sollte dann aber nicht die Datei weiterhin vorhanden sein und lediglich mit einer veralteten Version überschrieben werden?
Profil am Arbeitsplatz selbst ist auch servergespeichert, oder lokal? Anderer Pfad?
Viele Leute - so wie die betroffenen User - haben nur ThinClients und demnach auch nur das Servergespeicherte Profil.
Profile auf Notebooks/Workstations sind jedoch lokal gespeichert. Hier geht auch nichts verloren.
Profile auf Notebooks/Workstations sind jedoch lokal gespeichert. Hier geht auch nichts verloren.
Zitat von @Corrben:
Viele Leute - so wie die betroffenen User - haben nur ThinClients und demnach auch nur das Servergespeicherte Profil.
Viele Leute - so wie die betroffenen User - haben nur ThinClients und demnach auch nur das Servergespeicherte Profil.
Die Frage ist doch eher: Liegt das servergespeicherte Profil für die ThinClients in einem anderen Pfad, als das servergespeicherte Profil für die Remote-Anmeldung?
Bestehen evtl. Rechteprobleme auf den Profil-Verzeichnissen, wodurch die Dateien nicht mehr auf den Server gespeichert werden können?
Hallo,
Wo liegen die verschwindenden Dateien? Auf dem Desktop oder in den Eigenen Dateien?
Werden Desktop / Eigene Dateien per GPO umgeleitet ? Wenn nein, eventuell ist das eine Option um die Profilüberschreiberei zu unterbinden.
Viele Grüße
Tino
Wo liegen die verschwindenden Dateien? Auf dem Desktop oder in den Eigenen Dateien?
Werden Desktop / Eigene Dateien per GPO umgeleitet ? Wenn nein, eventuell ist das eine Option um die Profilüberschreiberei zu unterbinden.
Viele Grüße
Tino
Zitat von @BlackT:
Hallo,
Wo liegen die verschwindenden Dateien? Auf dem Desktop oder in den Eigenen Dateien?
Werden Desktop / Eigene Dateien per GPO umgeleitet ? Wenn nein, eventuell ist das eine Option um die Profilüberschreiberei zu
unterbinden.
Viele Grüße
Tino
Hallo,
Wo liegen die verschwindenden Dateien? Auf dem Desktop oder in den Eigenen Dateien?
Werden Desktop / Eigene Dateien per GPO umgeleitet ? Wenn nein, eventuell ist das eine Option um die Profilüberschreiberei zu
unterbinden.
Viele Grüße
Tino
Sowohl aus auch. Die Dateien liegen irgendwo im eigenen Profil. Es wird immer das komplette Profil kopiert, Ordner werden keine umgeleitet.
User meldet sich an, Profil wird vom Profilspeicher auf den angemeldeten XenApp-Server kopiert, User meldet sich abends irgendwann wieder ab, Profil wird zurück in den Profilspeicher geschrieben und das Profil wird vom XenApp-Server nach ein paar Minuten gelöscht. Das ist so der Vorgang des Profilmanagers von Citrix.
Zitat von @thergermandubliner:
Was sagt denn Procmon dazu?
http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx
Was sagt denn Procmon dazu?
http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx
Das haben wir auch mal vor ein paar Monaten getestet, aber auch hier wurde nichts angezeigt. Ich lasse es aber noch Mal mitlaufen.
Frage: Kann ich Procmon so einstellen, dass er die Logs nicht auf C:\ schreibt, sondern auf eine andere Partition? Ich habe Procmon mal ausgeführt und irgendwann ist mir die Systempartition vollgelaufen.
EDIT: Oder ist es möglich die ungefilterten Events direkt wieder zu löschen, sodass nur die Events behalten werden, auf die der Filter zutrifft?
EDIT: Oder ist es möglich die ungefilterten Events direkt wieder zu löschen, sodass nur die Events behalten werden, auf die der Filter zutrifft?
Ich habe hier mal einen original Log-Eintrag:
Es wurde versucht, auf ein Objekt zuzugreifen.
Antragsteller:
Sicherheits-ID: DOMÄNE\USER1
Kontoname: USER1
Kontodomäne: DOMÄNE
Anmelde-ID: 0x19d013xxx
Objekt:
Objektserver: Security
Objekttyp: File
Objektname: E:\{Pfad zur Datei}\Excel-Tabelle.xlsx
Handle-ID: 0x4634
Prozessinformationen:
Prozess-ID: 0x4
Prozessname:
Zugriffsanforderungsinformationen:
Zugriffe: DELETE
Zugriffsmaske: 0x10000
Es wurde versucht, auf ein Objekt zuzugreifen.
Antragsteller:
Sicherheits-ID: DOMÄNE\USER1
Kontoname: USER1
Kontodomäne: DOMÄNE
Anmelde-ID: 0x19d013xxx
Objekt:
Objektserver: Security
Objekttyp: File
Objektname: E:\{Pfad zur Datei}\Excel-Tabelle.xlsx
Handle-ID: 0x4634
Prozessinformationen:
Prozess-ID: 0x4
Prozessname:
Zugriffsanforderungsinformationen:
Zugriffe: DELETE
Zugriffsmaske: 0x10000
Hi,
kannst du schauen, was zur gleichen Zeit in den UPM logs geschrieben wird (oder kurz davor)?
http://support.citrix.com/article/CTX126723
Danke
Tom
kannst du schauen, was zur gleichen Zeit in den UPM logs geschrieben wird (oder kurz davor)?
http://support.citrix.com/article/CTX126723
Danke
Tom
So, ich habe mich wieder etwas mit dem Thema beschäftigt. Mittlerweile stellte sich raus, dass auch andere Dateien verschwinden, bisher auch pptx oder docx Dateien.
In den Windows Logs habe ich einen Eintrag gefunden:
Ereignis-ID: 4663
Ereignis:
Es wurde versucht, auf ein Objekt zuzugreifen.
Antragsteller:
Sicherheits-ID: DOMÄNE\USER
Kontoname: USER
Kontodomäne: DOMÄNE
Anmelde-ID: 0x1a7a5a9a2
Objekt:
Objektserver: Security
Objekttyp: File
Objektname: E:\{...Pfad zur Datei...}\Datei.xlsx
Handle-ID: 0x5718
Prozessinformationen:
Prozess-ID: 0x4
Prozessname:
Zugriffsanforderungsinformationen:
Zugriffe: DELETE
Zugriffsmaske: 0x10000
Analog dazu sehe ich in den XenApp Logs folgendes:
2013-08-12;15:19:51.904;INFORMATION;HRS;USER;18;28300;CheckIfMirroredFilesOutOfSync: Destination file <\\Profilspeicher\profile\USER\UPM_Profile\Desktop\Datei.xlsx> is older than source file <C:\Users\USER\Desktop\Datei.xlsx>.
2013-08-12;15:19:51.904;INFORMATION;HRS;USER;18;28300;CopyFileWithRetries: Copied a file from: <C:\Users\USER\Desktop\Datei.xlsx> to <\\Profilspeicher\profile\USER\UPM_Profile\Desktop\Datei.xlsx>.
scheinbar kopiert das Profilmanagement die Dateien sauber zurück in den Profilspeicher, nachdem der User sich abmeldet. Auf dem Fileserver hingegen sagt der Zugriffsversuch "DELETE" wohl aus, dass die DAtei gelöscht wird, frage ist nur, warum!
In den Windows Logs habe ich einen Eintrag gefunden:
Ereignis-ID: 4663
Ereignis:
Es wurde versucht, auf ein Objekt zuzugreifen.
Antragsteller:
Sicherheits-ID: DOMÄNE\USER
Kontoname: USER
Kontodomäne: DOMÄNE
Anmelde-ID: 0x1a7a5a9a2
Objekt:
Objektserver: Security
Objekttyp: File
Objektname: E:\{...Pfad zur Datei...}\Datei.xlsx
Handle-ID: 0x5718
Prozessinformationen:
Prozess-ID: 0x4
Prozessname:
Zugriffsanforderungsinformationen:
Zugriffe: DELETE
Zugriffsmaske: 0x10000
Analog dazu sehe ich in den XenApp Logs folgendes:
2013-08-12;15:19:51.904;INFORMATION;HRS;USER;18;28300;CheckIfMirroredFilesOutOfSync: Destination file <\\Profilspeicher\profile\USER\UPM_Profile\Desktop\Datei.xlsx> is older than source file <C:\Users\USER\Desktop\Datei.xlsx>.
2013-08-12;15:19:51.904;INFORMATION;HRS;USER;18;28300;CopyFileWithRetries: Copied a file from: <C:\Users\USER\Desktop\Datei.xlsx> to <\\Profilspeicher\profile\USER\UPM_Profile\Desktop\Datei.xlsx>.
scheinbar kopiert das Profilmanagement die Dateien sauber zurück in den Profilspeicher, nachdem der User sich abmeldet. Auf dem Fileserver hingegen sagt der Zugriffsversuch "DELETE" wohl aus, dass die DAtei gelöscht wird, frage ist nur, warum!
