lcer00
Goto Top

Performance-Probleme am Remotedesktop-Host durch tausende Firewallregeln

Bei Remodesktop-Hosts, die UserProfile-Disks nutzen, werden offenbar bei jedem Start einer Sitzung neue Firewallregeln für Windows-Apps angelegt. Leider werden sie nicht wieder gelöscht, wenn die Sitzung beendet wird. Die multiplen Regeln erzeugen einen erheblichen Overhead.

Meine Windows-Firewall auf dem Remotedesktopserver enthielt ca. 6000 Regelduplikate von Firewallregeln für Windows-Apps. Nach etwas Recherche habe ich folgende Informationen dazu gefunden:


Es gibt offenbar schon eine Weile Abhilfe, genauer gesagt seit dem Novemeber-2018-Update:

Man erzeugt den folgenden Registry-Key:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy
DWORD: DeleteUserAppContainersOnLogoff
Den Key setzt man auf 1. Danach sollten diese Regeln wieder gelöscht werden, wenn der Benutzer sich abmeldet.

Die schon bestehenden Firewallregeln kann man löschen. Über Powershell geht das halbwegs comfortabel - aber nur extrem langsam. Zuerst muss man (einmalig) das Modul laden:
Import-Module -name NetSecurity

Anschließend löscht man die betreffenden Regeln, z.B.:
Remove-NetFirewallRule -DisplayName "Geschäfts- oder Schulkonto"  

Grüße

lcer

Content-Key: 7706179607

Url: https://administrator.de/contentid/7706179607

Printed on: September 29, 2023 at 09:09 o'clock

Member: anteNope
anteNope Jul 02, 2023 at 20:42:14 (UTC)
Goto Top
Danke für diesen sehr hilfreichen Hinweis! Das ist mir bislang gar nicht bewusst gewesen. Ich wundere mich gerade wieso Benutzer ohne Adminrechte überhaupt in der Lage sind Firewall-Regeln zu erstellen; das klingt irgendwie ziemlich dumm ...

Über die letzten Jahre haben sich bei mir auch relativ viele Einträge angesammelt ... bin begeistert, dass dieser Reg-Wert nicht direkt beim aktivieren der RDS-Rolle gesetzt wird ... man man man ...
Member: MysticFoxDE
MysticFoxDE Jul 03, 2023 at 05:01:27 (UTC)
Goto Top
Moin @anteNope,

Danke für diesen sehr hilfreichen Hinweis! Das ist mir bislang gar nicht bewusst gewesen. Ich wundere mich gerade wieso Benutzer ohne Adminrechte überhaupt in der Lage sind Firewall-Regeln zu erstellen; das klingt irgendwie ziemlich dumm ...

Über die letzten Jahre haben sich bei mir auch relativ viele Einträge angesammelt ... bin begeistert, dass dieser Reg-Wert nicht direkt beim aktivieren der RDS-Rolle gesetzt wird ... man man man ...

dieses Problem gibt es schon seit Server 2016. ­čśö

https://stackoverflow.com/questions/40620634/speed-up-powershells-remove ...

Und ja, es ist für MS eine Schande, dass sie es bis heute nicht anständig behoben haben. ­čśí

Das Problem betrifft meines Wissens nach ferner nicht nur die RDS-Session-Hosts, sondern auch Clients die mit serverseitigen Profilen laufen.

Gruss Alex
Member: support-m
support-m Jul 03, 2023 at 14:18:18 (UTC)
Goto Top
Ja, den Fix haben wir mühselig in den Update-Notes zusammensuchen müssen. Da war eine RD Server 2016 Farm problematisch. Startmenü das nicht läd, Anmeldungen dauern ewig etc pp.
Ich wäre aber jetzt davon ausgegangen, dass der Wert seit den darauffolgenden CUs default-mäßig gesetzt ist !?
Man ey. Manchmal hasse ich es, Windows-Admin zu sein...Danke für den Reminder.
Member: wecanIT
wecanIT Jul 05, 2023 at 05:34:47 (UTC)
Goto Top
Hallo,

das kann ich so bestätigen. Habe auf einem Windows 2019 RD Host 35000 Firewallregeln, beginnen alle mit{...} gelöscht. Auf den anderen Hosts sah es genauso aus.

Da das Script, zeigte 6 Stunden Restzeit an, nach einer Weile mit Fehlern abbrach habe ich die Regeln händisch gelöscht. Das ging schneller, ein paar Minuten.

Man darf aber nicht alle Regeln löschen, wie in einem Bericht beschrieben! Also nur die mit {geschweiften Klammern}!

Seit dem funktioniert auch das Windows Menü wieder. Die Anmeldung geht jetzt auch wieder schneller.

Grüße
Ralf
Member: Saftnase
Saftnase Jul 17, 2023 at 09:16:14 (UTC)
Goto Top
Es ist halt so, niemand kann Windows besser kaputtmachen als Microsoft, alle andern sind nur Stümper die zufällig auf Bugs stoßen. face-smile