5
Performance-Probleme am Remotedesktop-Host durch tausende Firewallregeln
Bei Remodesktop-Hosts, die UserProfile-Disks nutzen, werden offenbar bei jedem Start einer Sitzung neue Firewallregeln für Windows-Apps angelegt. Leider werden sie nicht wieder gelöscht, wenn die Sitzung beendet wird. Die multiplen Regeln erzeugen einen erheblichen Overhead.
Meine Windows-Firewall auf dem Remotedesktopserver enthielt ca. 6000 Regelduplikate von Firewallregeln für Windows-Apps. Nach etwas Recherche habe ich folgende Informationen dazu gefunden:
Es gibt offenbar schon eine Weile Abhilfe, genauer gesagt seit dem Novemeber-2018-Update:
Man erzeugt den folgenden Registry-Key:
Den Key setzt man auf 1. Danach sollten diese Regeln wieder gelöscht werden, wenn der Benutzer sich abmeldet.
Die schon bestehenden Firewallregeln kann man löschen. Über Powershell geht das halbwegs comfortabel - aber nur extrem langsam. Zuerst muss man (einmalig) das Modul laden:
Anschließend löscht man die betreffenden Regeln, z.B.:
Grüße
lcer
Meine Windows-Firewall auf dem Remotedesktopserver enthielt ca. 6000 Regelduplikate von Firewallregeln für Windows-Apps. Nach etwas Recherche habe ich folgende Informationen dazu gefunden:
- https://woshub.com/slow-remoteapp-experience-mouse-lags-windows-10-updat ...
- https://social.technet.microsoft.com/Forums/windowsserver/en-US/2f4f52a0 ...
- https://support.microsoft.com/en-us/topic/november-27-2018-kb4467684-os- ...
- https://learn.microsoft.com/en-us/powershell/module/netsecurity/remove-n ...
Es gibt offenbar schon eine Weile Abhilfe, genauer gesagt seit dem Novemeber-2018-Update:
Man erzeugt den folgenden Registry-Key:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy
DWORD: DeleteUserAppContainersOnLogoffDie schon bestehenden Firewallregeln kann man löschen. Über Powershell geht das halbwegs comfortabel - aber nur extrem langsam. Zuerst muss man (einmalig) das Modul laden:
Import-Module -name NetSecurityAnschließend löscht man die betreffenden Regeln, z.B.:
Remove-NetFirewallRule -DisplayName "Geschäfts- oder Schulkonto" Grüße
lcer
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7706179607
Url: https://administrator.de/contentid/7706179607
Printed on: April 28, 2024 at 05:04 o'clock
5 Comments
Latest comment
Danke für diesen sehr hilfreichen Hinweis! Das ist mir bislang gar nicht bewusst gewesen. Ich wundere mich gerade wieso Benutzer ohne Adminrechte überhaupt in der Lage sind Firewall-Regeln zu erstellen; das klingt irgendwie ziemlich dumm ...
Über die letzten Jahre haben sich bei mir auch relativ viele Einträge angesammelt ... bin begeistert, dass dieser Reg-Wert nicht direkt beim aktivieren der RDS-Rolle gesetzt wird ... man man man ...
Über die letzten Jahre haben sich bei mir auch relativ viele Einträge angesammelt ... bin begeistert, dass dieser Reg-Wert nicht direkt beim aktivieren der RDS-Rolle gesetzt wird ... man man man ...
Moin @anteNope,
dieses Problem gibt es schon seit Server 2016. 😔
https://stackoverflow.com/questions/40620634/speed-up-powershells-remove ...
Und ja, es ist für MS eine Schande, dass sie es bis heute nicht anständig behoben haben. 😡
Das Problem betrifft meines Wissens nach ferner nicht nur die RDS-Session-Hosts, sondern auch Clients die mit serverseitigen Profilen laufen.
Gruss Alex
Danke für diesen sehr hilfreichen Hinweis! Das ist mir bislang gar nicht bewusst gewesen. Ich wundere mich gerade wieso Benutzer ohne Adminrechte überhaupt in der Lage sind Firewall-Regeln zu erstellen; das klingt irgendwie ziemlich dumm ...
Über die letzten Jahre haben sich bei mir auch relativ viele Einträge angesammelt ... bin begeistert, dass dieser Reg-Wert nicht direkt beim aktivieren der RDS-Rolle gesetzt wird ... man man man ...
Über die letzten Jahre haben sich bei mir auch relativ viele Einträge angesammelt ... bin begeistert, dass dieser Reg-Wert nicht direkt beim aktivieren der RDS-Rolle gesetzt wird ... man man man ...
dieses Problem gibt es schon seit Server 2016. 😔
https://stackoverflow.com/questions/40620634/speed-up-powershells-remove ...
Und ja, es ist für MS eine Schande, dass sie es bis heute nicht anständig behoben haben. 😡
Das Problem betrifft meines Wissens nach ferner nicht nur die RDS-Session-Hosts, sondern auch Clients die mit serverseitigen Profilen laufen.
Gruss Alex
Ja, den Fix haben wir mühselig in den Update-Notes zusammensuchen müssen. Da war eine RD Server 2016 Farm problematisch. Startmenü das nicht läd, Anmeldungen dauern ewig etc pp.
Ich wäre aber jetzt davon ausgegangen, dass der Wert seit den darauffolgenden CUs default-mäßig gesetzt ist !?
Man ey. Manchmal hasse ich es, Windows-Admin zu sein...Danke für den Reminder.
Ich wäre aber jetzt davon ausgegangen, dass der Wert seit den darauffolgenden CUs default-mäßig gesetzt ist !?
Man ey. Manchmal hasse ich es, Windows-Admin zu sein...Danke für den Reminder.
1
Hallo,
das kann ich so bestätigen. Habe auf einem Windows 2019 RD Host 35000 Firewallregeln, beginnen alle mit{...} gelöscht. Auf den anderen Hosts sah es genauso aus.
Da das Script, zeigte 6 Stunden Restzeit an, nach einer Weile mit Fehlern abbrach habe ich die Regeln händisch gelöscht. Das ging schneller, ein paar Minuten.
Man darf aber nicht alle Regeln löschen, wie in einem Bericht beschrieben! Also nur die mit {geschweiften Klammern}!
Seit dem funktioniert auch das Windows Menü wieder. Die Anmeldung geht jetzt auch wieder schneller.
Grüße
Ralf
das kann ich so bestätigen. Habe auf einem Windows 2019 RD Host 35000 Firewallregeln, beginnen alle mit{...} gelöscht. Auf den anderen Hosts sah es genauso aus.
Da das Script, zeigte 6 Stunden Restzeit an, nach einer Weile mit Fehlern abbrach habe ich die Regeln händisch gelöscht. Das ging schneller, ein paar Minuten.
Man darf aber nicht alle Regeln löschen, wie in einem Bericht beschrieben! Also nur die mit {geschweiften Klammern}!
Seit dem funktioniert auch das Windows Menü wieder. Die Anmeldung geht jetzt auch wieder schneller.
Grüße
Ralf
Es ist halt so, niemand kann Windows besser kaputtmachen als Microsoft, alle andern sind nur Stümper die zufällig auf Bugs stoßen. 
1
