Verschiedene Situationen die mit Terminalservern / VDAs unter Windows Server 2016 zu Blackscreens führen können.
In unterschiedlichen Kundenumgebungen mit und ohne Citrix gab es in den letzten Monaten immer wieder Blackscreens bei der Anmeldung von Usern. Bei fast jedem Blackscreen half es nur den entsprechenden Session-Host bzw. die VDA durchzubooten. Hier einmal eine kleine Auflistung, welche Fehler in welchen Konstellationen aufgetreten sind und wie sie sich ggfs. beheben lassen:
- Citrix Virtual Apps and Desktops (XenApp / XenDesktop) verursacht in den Versionen 7.15 LTSR bis 7.17 bei Einsatz des User Profile Managers einen schwarzen Bildschirm
- Die Abmeldung eines Users mit durchgereichter Smart Card verursacht für sämtliche Neuanmeldungen am betroffenen Host Blackscreens
- Mozilla Firefox bringt den Audio-Dienst und AudioDG.exe zum Absturz und Neuanmeldungen landen für längere Zeit (ca. 10 – 20 Minuten) im Blackscreen
zu 1) Hier hilft, im 7.15 LTSR Fall, das Update auf 7.15 LTSR CU2 sowie anschließend die Installation des Hotfixes für den UPM: https://support.citrix.com/article/CTX235399. Sollte man im Blackscreen „gefangen“ sein, dann hilft CTX235100. Für den Fall, dass das Current Release (CR) eingesetzt wird, würde ich auf 7.18 bzw. 7 1808 updaten. So eben (29.10.2018) hat Citrix das CU3 für den Long Term Servie Release 7.15 veröffentlicht und den „Black Screen“ als Fixed Issue angegeben:
7.15 LTSR CU2 sessions might launch as a black screen. The issue occurs with sessions running on XenApp and XenDesktop 7.15 LTSR CU2 and 7.17 VDAs when Profile Management is enabled. For more information and a workaround, see Knowledge Center article CTX235100. [LC9648]
https://docs.citrix.com/en-us/xenapp-and-xendesktop/7-15-ltsr/whats-new/cumulative-update-3/fixed-issues.html
zu 2) Dieser Bug wurde mit dem Kummulativen Update KB4103720 und folgenden behoben. In mehreren Fällen musste neben dem Update die Registry noch angepasst werden. Dazu unter
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\Calais
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais
jeweils den 32-Bit DWORD „ForceWinStationUnregisterCall“ mit dem Wert 1 anlegen sowie die Sessions-Hosts durchbooten.
zu 3) Nach einem kurzen Case bei Microsoft hat sich ergeben, dass hier eine Deinstallation von Firefox auf den RDSHs / VDAs oder ein Deaktivieren des Audio-Dienstes hilft. Im Technet gibt es dazu einen etwas längeren Thread, mit einem kleinen Script, welches bei einem Kunden stündlich läuft und so „Abhilfe“ schafft. Zusätzlich empfiehlt es sich, die Windows Sounds zu deaktivieren. Dadurch kommt es nicht zum zehn- bis zwanzigminütigem Blackscreen-Loop. Deaktivieren lassen sich die Sounds z.B. per Gruppenrichtlinien-Einstellung Registry:
HKCU\AppEvents\Schemes (Default) REG_SZ .None
https://social.technet.microsoft.com/Forums/en-US/4e3ff4ea-ad23-4dda-b1e9-022f8d76c8e6/remote-desktop-rds-2016-gives-back-screen-on-logon-and-prevents-progression-to-desktop-audiodgexe?forum=winserverTS
REM Terminal Server instability seems to be caused by AudioDG.exe hanging and the Windows Audio
REM service. Restarting these seems to bring it back up. So hopefully, pre-emptively restarting
REM them at intervals will prevent it.
net stop Audiosrv
taskkill /F /IM AudioDG.exe
net start Audiosrv
Bei zwei weiteren Kunden gab es teils Blackscreens bis zu 3 Minuten bei der Anmeldung. Dort fand sich nach erster Analyse eine sehr hohe Auslastung eines „svchost.exe“ Dienstes. Verantwortlich dafür war der Dienst „MpsSvc“, also die Windows-Firewall. Ein wenig Recherche brachte diesen Post im Technet sowie den KB4467684 aus 11/2018 hervor.
Addresses an issue that slows server performance or causes the server to stop responding because of numerous Windows firewall rules. To enable the changes, add a new registry key “DeleteUserAppContainersOnLogoff” (DWORD) on “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy” using Regedit, and set it to 1.
https://support.microsoft.com/en-us/help/4467684/windows-10-update-kb4467684
Hier das Script aus dem oben verlinkten Technet Beitrag:
# Quelle: https://social.technet.microsoft.com/Forums/en-US/992e86c8-2bee-4951-9461-e3d7710288e9/windows-servr-2016-rdsh-firewall-rules-created-at-every-login?forum=winserverTS
$RegPath = "HKLM:\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy"
$Name = "DeleteUserAppContainersOnLogoff"
$Value = "1"
Remove-Item -Path "HKLM:\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Configurable\System\*" -Recurse -Force
Remove-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Configurable\System\" -Name * -Force
$FWInboundRules = Get-NetFirewallRule -Direction Inbound |Where {$null -ne $_.Owner} | sort Displayname, Owner
$FWInboundRulesUnique = Get-NetFirewallRule -Direction Inbound |Where {$null -ne $_.Owner} | sort Displayname, Owner -Unique
Write-Host "# inbound rules: " $FWInboundRules.Count
Write-Host "# inbound rules (Unique): " $FWInboundRulesUnique.Count
if($FWInboundRules.Count -ne $FWInboundRulesUnique.Count) {
Write-Host "# rules to remove: "(Compare-Object -referenceObject $FWInboundRules -differenceObject $FWInboundRulesUnique).Count
Compare-Object -referenceObject $FWInboundRules -differenceObject $FWInboundRulesUnique | select -ExpandProperty inputobject |Remove-NetFirewallRule
}
$FWOutboundRules = Get-NetFirewallRule -Direction Outbound |Where {$null -ne $_.Owner} | sort Displayname, Owner
$FWOutboundRulesUnique = Get-NetFirewallRule -Direction Outbound |Where {$null -ne $_.Owner} | sort Displayname, Owner -Unique
Write-Host "# outbound rules: "$FWOutboundRules.Count
Write-Host "# outbound rules (Unique): "$FWOutboundRulesUnique.Count
if($FWOutboundRules.Count -ne $FWOutboundRulesUnique.Count){
Write-Host "# rules to remove: "(Compare-Object -referenceObject $FWOutboundRules -differenceObject $FWOutboundRulesUnique).Count
Compare-Object -referenceObject $FWOutboundRules -differenceObject $FWOutboundRulesUnique | select -ExpandProperty inputobject |Remove-NetFirewallRule
}
if(!(Test-Path $RegPath)){
New-Item -Path $RegPath -Force | Out-Null
New-ItemProperty -Path $RegPath -Name $Name -Value $Value -PropertyType DWORD -Force | Out-Null
} else{
New-ItemProperty -Path $RegPath -Name $Name -Value $Value -PropertyType DWORD -Force | Out-Null
}
Sollten mir noch weitere Blackscreens unter Terminalserver / Remotedesktopserver / XenApp & XenDesktop bzw. virtual Apps and Desktops auf die Füße fallen, so würde ich hier einfach ergänzen. 🙂
Zuletzt bearbeitet am:
- 18.07.2020: Blackscreens durch svcHost / MpsSvc / Firewall Regeln ergänzt.
- 29.10.2018: 7.15 LTSR CU3 Informationen ergänzt.
Schreibe einen Kommentar