Citrix: Benutzer-Anmeldung hängt nach Passwortänderung
Problembeschreibung: Nachdem ein Benutzer sein Kennwort bspw. aufgrund der Passwortrichtlinien des Unternehmens über das Citrix StoreFront geändert hat, bleibt sporadisch die darauffolgende Anmeldung am Citrix VDA hängen. Der User sieht lediglich einen schwarzen Bildschirm (Blackscreen). Ob ThinClient oder Citrix Workspace für Windows oder Mac spielte an dieser Stelle kein Rolle. Auch ein längeres Verweilen half nicht weiter. Es tat sich einfach nichts. Auf dem Citrix Delivery Controller war nun eine Sitzung ohne Benutzerzuordnung zu erkennen (GhostSession). Anstelle des wie üblich angezeigten Benutzernamens wurde lediglich ein Minus/Strich dargestellt.
Über die Citrix-PowerShell Erweiterungen und entsprechenden Befehlen für die Broker oder einfach über den Vergleich der Benutzerprofilordner zu in Laufzeit angemeldeten Benutzern konnte schnell ermittelt, welchen Mitarbeiter es betraf.
Bei einem erneuten Anmeldeversuch wird der Benutzer immer wieder zu dieser „hängenden“ Sitzung vermittelt. Es folgt der schwarze Bildschirm oder ein eingefrorenes Anmeldebild des Windows Servers.
Ein Blick in des Eventlog des Citrix Delivery Controllers brachte keinen Aufschluss. Auch die Gruppenrichtlinien werden soweit möglich in einem annehmbaren Tempo abgearbeitet. Ein Blick in das Eventlog des Windows Servers mit dem VDA verriet dafür etwas mehr. Folgende Meldungen waren in der Ereignisanzeige zu finden:
Source: Citrix Profile Management |
ID: 22 |
Dateizugriff war langsam. Benutzer ‚Username‘ hat eine Verzögerung bemerkt, als Datei ‚C:\Users\Username\AppData\Roaming\Microsoft\Credentials\F3BAE867F12E5070ABB54BF36A751DD6‘ aus dem Benutzerspeicher abgerufen wurde. Ursache: Der Benutzer hat versucht, auf die Datei zuzugreifen, aber die Profilverwaltug hat eine Verzögerung bei diesem Vorgang festgestellt. Der Benutzer hat eine Warnung erhalten. Dies kann daran liegen, dass die Antivirensoftware den Zugriff auf die Datei im Benutzerspeicher verhindert. Lösung: Suchen Sie in der Profilverwaltungsdokumentation nach Informationen zur Problembehandlung und Konfiguration von Enterprise-Antivirenprodukten. |
Source: Citrix Profile Management |
ID: 23 |
Zugriff auf die Datei wurde verweigert. Benutzer ‚Username‘ hat eine lange Verzögerung bemerkt, als Datei ‚C:\Users\Username\AppData\Roaming\Microsoft\Credentials\F3BAE867F12E5070ABB54BF36A751DD6‘ aus dem Benutzerspeicher abgerufen wurde. Ursache: Der Benutzer hat versucht, auf die Datei zuzugreifen, aber die Profilverwaltung hat eine so lange Verzögerung bei diesem Vorgang festgestellt, dass der Zugriff verweigert wird. Der Benutzer hat eine Fehlermeldung erhalten. Dies kann daran liegen, dass die Antivirensoftware den Zugriff auf die Datei im Benutzerspeicher verhindert. Lösung: Suchen Sie in der Profilverwaltungsdokumentation nach Informationen zur Problembehandlung und Konfiguration von Enterprise-Antivirenprodukten. |
Die Auswirkungen waren teilweise enorm. So konnte es vorkommen, das bei einer bestehenden GhostSession selbst der Administrator nicht mehr in der Lage war, sich an diesem Server anzumelden. Anmeldeversuche von anderen Benutzern liefen ebenso ins Leere. Das Citrix Profil Management schien blockiert bzw. gestört zu sein.
Die erste Vermutung lag selbstverständlich beim Anti-Viren Client. Aber bis auf das dieser die Anmeldezeiten verlangsamt, verursachte der Scanner in diesem Szenario keine weiteren unangenehmen Effekte.
Die Lösung: Schuld war also der verweigerte bzw. verhinderte Zugriff auf die Credential-Cache-Datei. Das Auffällige war, bei jedem Benutzer handelte es sich immer um die gleiche Datei. Nach vielen Tests und Versuchen, wie etwa der Deklaration von Profilausnahmen und ähnlichem, entschloss ich mich, die Datei bei bestimmten Testbenutzern kurzerhand zu löschen. Keine Fehler waren zu erkennen, keine Nebenwirkungen spürbar.
Ein weiterer Schritt war es dann diese Dateien aus allen Benutzerprofilen zu entfernen. Behilflich war mir dabei ein kleines Skript, welches im Verlauf der Tage die Profile während der interaktiven Sitzung der Benutzer bereinigte. Durch das im Skript hinterlegte Logging viel dabei auf, dass nur Benutzer betroffen waren, die ein älteres Profil besaßen. Nämlich genau ein solches Profil, welches bereits eine Citrix UPM-Aktualisierung erfahren hat. Neuere Profile hatten diese Datei nicht und waren somit auch nicht betroffen. Möglicherweise ist etwas bei der UPM-Aktualisierung und der Migration der Profile falsch verlaufen und hat dafür gesorgt, dass diese Datei beim Anlegen der Profile nicht bereinigt wurde. Das Zurücksetzen eines Profils würden den gleichen Effekt erzeugen und wäre somit auch eine Lösung.
Nachdem alle Profile bereinigt waren, ist der Fehler nicht mehr aufgetreten.