RDS Gestione del Numero di Sessioni Utente Concorrenti

Normalmente in RDS ogni singolo utente che accede al servizio dispone di una singola sessione, quindi, rieseguendo un secondo accesso, la prima sessione verrà disconnessa.

In alcuni scenari di utilizzo, questo comportamento può essere un limite, si pensi ad ambienti dove l’autenticazione avviene a livello applicativo e l’accesso al Sistema è necessario esclusivamente per avviare l’applicazione.

In un contesto di questo genere è possibile modificare il comportamento di Default tramite una GPO di Macchina da applicare sui sistemi dell’infrastruttura RDS che ospitano il ruolo Session Host

La GPO che determina questo comportamento è in

  • Computer > Modelli Amministrativi > Componenti di Windows > Servizi Desktop Remoto > Host Sessione Desktop Remoto > Connessioni
  • Impostare “Limita gli Utenti di Servizi Desktop remoto a una sola sessione di Servizi Desktop remoto” a Disabilitato.


Annunci

Conversione Fisico/Virtuale per mezzo di Disk2Vhd di un sistema con bios UEFI

 

Il tool Disk2Vhd permette agevolmente la conversione di sistemi fisici in VM pur non essendo un vero e proprio strumento di conversione.

Nei vari scenari affrontati, la conversione di sistemi legacy XP,2003 etc. può essere necessaria ( anche se ormai questi sistemi sono fuori supporto ).

Anche con sistemi operativi più recenti W7,10,2012 può essere necessario effettuare la conversione di installazioni fisiche.

Nel caso in cui queste siano in installate su HW con Bios UEFI, la conversione con Disk2Vhd, e la successiva creazione della VM non consentono al sistema un avvio corretto e la VM rimane inaccessibile con lo schermo completamente nero.

Figura 1 avvio fallito dopo la conversione del disco di sistema

 

Se ci si trova in questa situazione è sufficiente seguire alcuni passaggi per consentire il corretto avvio del sistema operativo.

Per prima cosa è necessario montare il disco convertito e verificare le partizioni esistenti, quasi certamente si vedrà un’organizzazione del disco simile a quella della figura sotto, ossia con un disco di tipo GPT ed una serie di partizioni che precedono la partizione di sistema vera e propria.

Nota. Per effettuare le operazioni descritte qui sotto possibile utilizzare numerosi tool, Free, OpenSource ed a pagamento, personalmente ho utilizzato Aomei Partition Assistant nella versione Free scaricabile dal sito

 

Figura 2 conversione VHDx

 

A questo punto è sufficiente effettuare la conversione del disco da GPT a MBR

 

Figura 3 Conversione ad MBR del disco

Successivamente, dopo aver applicato le modifiche, è necessario rimuovere tutte le partizioni che precedono quella di sistema ( chiaramente questa operazione dovrà essere valutata caso per caso se fossero presenti altre partizioni contenenti dati )

Figura 4 rimozione partizione

Ed al termine applicare, anche in questo caso le modifiche

 

 

A questo punto è possibile smontare il disco e creare una VM ( Gen1 ) con questo disco come disco principale.

 

La VM non sarà ancora avviabile, pertanto dovremo inserire un disco della versione di Sistema che è contenuta nel VHD ed avviare le procedure di ripristino, è da notare che possono esserci leggere differenza tra le varie versioni. ( in questo esempio un ripristino di un sistema W7)

Successivamente accedere al prompt comandi e con l’utility DISKPART eseguire i comandi di attivazione della partizione

 

  • diskpart
  • list disk
  • select disk 0
  • list partition
  • select partition 1
  • active
  • exit

Figura 5 impostazione della partizione attiva

 

e, dopo un ulteriore riavvio è necessario eseguire la ricostruzione delle componenti di boot con i comandi

 

  • bootrec /fixmbr
  • bootrec /fixboot

 

ed infine eseguire

  • bootrec /RebuildBcd

in modo da eseguire la scansione delle installazioni presenti sul disco e ricostruire l’archivio di configurazione di avvio…

 

Rilevazione degli errori di Assegnazione Siti ad Aree in IE impostati tramite Group Policy (Event ID 1805)

 

In Internet Explorer è la Sicurezza del browser è strutturata in 4 aree Internet / Intranet Locale / Siti Attendibili / Siti Con Restrizioni, per ognuna di queste aree è possibile la gestione delle impostazioni di sicurezza in modo indipendente.

 

Figura 1 Aree di Sicurezza di IE

L’appartenenza di un determinato sito ad un’area avviene inserendo direttamente l’url del sito all’interno di un elenco impostato nel browser (elenco che è disponibile per ogni area)

Figura 2 Assegnazione di un Sito ad un’Aera

Nella dichiarazione di un sito è possibile utilizzare caratteri jolly ed i vari nomi ma con una serie di vincoli. E’ anche possibile dichiarare un singolo indirizzo ip ( 10.0.0.1) oppure un range di indirizzi ( 10.0.0.1-100).

È inoltre possibile indicare un protocollo specifico per discriminare l’assegnazione ad un’area specifica includendo anche il protocollo stesso.

Nel momento in cui viene introdotto un valore questo viene automaticamente verificato in modo da evitare che il comportamento del browser non sia corretto. Ad esempio se viene impostato https://blogs.technet.microsoft.*com, che non è sintatticamente corretto, viene presentato il seguente messaggio

Figura 3 Warning Relativo ad un Errore Formale di Dichiarazione ( LOCALE )

 

Questo controllo è disponibile quando vengono inseriti i valori all’interno delle impostazioni del browser, in quanto viene effettuata la conversione in chiavi di registro delle impostazioni di IE dal browser stesso.

 

Gestione delle Assegnazioni tramite GPO

Nel momento in cui si effettua la gestione dell’ambiente di sicurezza direttamente dalle GPO, viene perso il controllo sulla correttezza del valore digitato, questo verrà passato al client all’atto dell’elaborazione della GPO, e solo in questo frangente verrà eseguita la conversione del valore impostato nella Group Policy verificandone la correttezza.

Nel caso venga impostato un valore in modo non corretto, e quindi non gestibile dal browser, viene riportato un evento ID 1085 all’interno del registro eventi della postazione.

 

Figura 4 Dichiarazione Errata nella GPO

Figura 5 Event ID 1805 Riportato sulla Postazione

 

Il registro tuttavia non riporta in modo puntuale dove è stato rilevato l’errore, nemmeno leggendo i dettagli dell’evento stesso.

Figura 6 Dettaglio Evento

 

Il livello di dettaglio che possiamo rilevare è nella descrizione dell’errore relativamente alla dicitura “Parametro non corretto”

Anche effettuando una “forzatura” tramite il comando GPUPDATE /FORCE sulla postazione otteniamo un avviso di errore

Figura 7 Comando Gpupdate

Tramite il tool di diagnostica GPRESULT /H <NomeFileDiOutput.html> possiamo ottenere informazioni più circostanziate e precise contenute all’interno del file di output.

A questo punto il report generato dal comando è disponibile nel file html e da qui è possibile verificare quali impostazioni sono state “passate” dalla GPO al client ed approfondire l’indagine.

Figura 8 Report in Formato HTML

Non viene tuttavia indicato quale sia il valore che genera l’errore.

 

IE Zone Analyzer TOOL

Uno strumento ulteriore per la diagnostica dei problemi legati a questo tipo di impostazioni è Zone Map Viewer
che è stato rilasciato ormai da alcuni anni ma ( sebbene non sia disponibile una informazione ufficiale di compatibilità con i sistemi recenti ) è ancora utilizzabile per la rilevazione delle impostazioni del browser.

Questo tool riporta la configurazione attiva sul browser tramite la funzione “Zone Map Viewer”

Figura 9 IE Zone Analyzer TOOL

 

E in dettaglio le impostazioni valide, che per differenza rispetto a quelle impostate tramite la GPO, individuano il settaggio non valido, in questo esempio https://www.bing.*com è il valore che non essendo coerente con i vincoli imposti dal browser, genera l’errore in applicazione della GPO, tramite Zone Analyzer infatti è applicato esclusivamente http://www.google.com

 

 

Figura 10 Report delle Impostazioni Effettivamente Attive

 

 

Riferimenti

https://blogs.msdn.microsoft.com/askie/2016/04/05/description-of-event-id-1085-from-internet-explorer-zonemapping/

https://blogs.technet.microsoft.com/fdcc/2011/09/22/iezoneanalyzer-v3-5-with-zone-map-viewer/

https://blogs.technet.microsoft.com/fdcc/2011/09/22/internet-explorers-explicit-security-zone-mappings/