Jump to content
wuffzack

DMS Aufgaben und Remote Desktop

Recommended Posts

wuffzack
Posted (edited)

Hallo!

 

Ich habe eine Merkwürdigkeit mit dem Media Server gefunden.

Wenn man folgendes tut:

1.) DMS Service normal gestartet (lokales Systemkonto)

2.) Aufgabe erstellt, die im lokalen Benutzerkonto ausgeführt werden soll

3.) Aufgabe über Webinterface von einem anderen Rechner startet

dann funktioniert das einwandfrei.

 

Wenn man sich aber via Remote Desktop auf dem Rechner, auf dem DMS läuft einloggt, und dann die Aufgabe starten will, schlägt das fehl. Im Webinterface erscheint "Aufgabe" kann nicht ausgeführt werden. Im svcdebug.log steht dann:

 

	17.05.20 16:36:59.496 TWinApp              Execute          C:\bin\nothing.cmd
	17.05.20 16:36:59.496 TWinApp              Working Directory C:\bin\
	17.05.20 16:36:59.496 TWinApp              SessionID        3
	17.05.20 16:36:59.496 TWinApp              WTSUserToken Error 1008

 

Das wäre jetzt nicht so schlimm, wenn das nur während einer remote desktop Verbindung wäre. Aber wenn man die RDP Verbindung beendet bleibt das Problem bestehen. So lange, bis sich Jemand lokal auf dem Rechner, auf dem DMS läuft, einloggt. Dann wird die Aufgabe ausgeführt.

Sobald man sich einmal mit Remote Desktop (wohlgemerkt der gleiche User wie beim lokalen login) einloggt, ist das Problem wieder da.

 

Vielleicht kann das Problem ja irgendwie gelöst oder umgangen werden.

 

EDIT:

Nachtrag: Bei einer VNC Verbindung tritt das Problem nicht auf. VNC ist ja quasi wie ein lokales Login. Es geht um Microsofts "Remote Desktop Verbindung".

Danke & Gruss!

 

Edited by wuffzack

Share this post


Link to post
DetlefM

Welche Art der Authentifizierung hast Du denn? Also ein lokaler User mit lokalem Passwort oder ein Microsoft Konto auf beiden Rechnern?

Denn bei meinen Rechnern mit Microsoftkonto habe ich keine Probleme.

ich vermute ein Rechteproblem mit dem Aufnahmeordner oder einem anderen Ordner der vom Mediaserver genutzt wird.

Share this post


Link to post
Griga

Wenn man

 

2 hours ago, wuffzack said:

WTSUserToken Error 1008

 

bei Google eingibt (und auf das Vorkommen von WTSUserToken besteht), gibt es genau einen Treffer:

 

https://www.dvbviewer.tv/forum/topic/60032-aufnahmen-auf-nas-speichern/

 

Dort findet sich eventuell ein Hinweis auf die Ursache.

 

Ich frage mich, warum ich immer wieder für Anwender Suchmaschinen bedienen muss... im Informationszeitalter sollten zumindest grundlegende Recherchetechniken bekannt sein. Eine Fehlermeldung bei Google einzugeben ist nun wirklich nicht sehr abwegig. ;)

 

Share this post


Link to post
wuffzack
Posted (edited)
36 minutes ago, Griga said:

Wenn man

 

 

bei Google eingibt (und auf das Vorkommen von WTSUserToken besteht), gibt es genau einen Treffer:

 

https://www.DVBViewer.tv/forum/topic/60032-aufnahmen-auf-nas-speichern/

 

Dort findet sich eventuell ein Hinweis auf die Ursache.

 

Ich frage mich, warum ich immer wieder für Anwender Suchmaschinen bedienen muss... im Informationszeitalter sollten zumindest grundlegende Recherchetechniken bekannt sein. Eine Fehlermeldung bei Google einzugeben ist nun wirklich nicht sehr abwegig. ;)

 

Den Thread hatte ich schon selber gefunden. Das Problem dort ist aber völlig anders, genauso wie der Fehlercode. ("WTSUserToken Error 1314" statt 1008)

Von einem Fehler nur bei oder nach einer Remote Desktop Verbindung sehe ich da auch nichts.

Ich sehe da keinen Zusammenhang, oder inwiefern das helfen könnte.

 

EDIT:

"WTSQueryUserToken() fails with error 1008 if team viewer [and perhaps remote desktop] is running at system boot"

hab ich bei Google gefunden, ist dem beschriebenen Problem deutlich ähnlicher, aber hilft mit jetzt auch nicht wirklich.

Error 1008 entspicht wohl ERROR_NO_TOKEN

Edited by wuffzack
Ergänzung

Share this post


Link to post
wuffzack
Posted (edited)
1 hour ago, DetlefM said:

Welche Art der Authentifizierung hast Du denn? Also ein lokaler User mit lokalem Passwort oder ein Microsoft Konto auf beiden Rechnern?

Denn bei meinen Rechnern mit Microsoftkonto habe ich keine Probleme.

ich vermute ein Rechteproblem mit dem Aufnahmeordner oder einem anderen Ordner der vom Mediaserver genutzt wird.

Lokaler User mit lokalem Passwort.

Ich wüsste nicht, was das mit dem Aufnahmeordner zu tun hat. In dem o.g. Beispiel starte ich eine Aufgabe (keine Aufnahme) manuell durch das Webinterface.

Es funktioniert nur dann nicht, wenn ich mich via Remote Desktop einlogge. Wenn ich das nicht tue, funktioniert es.

Edited by wuffzack
typo

Share this post


Link to post
Griga
32 minutes ago, wuffzack said:

Das Problem dort ist aber völlig anders, genauso wie der Fehlercode. ("WTSUserToken Error 1314" statt 1008)

 

Die Browser-Suchfunktion liefert mit 1008 als Suchbegriff auf der Seite

 

On 7/16/2017 at 3:36 PM, ccdmas said:

Als User kommt jetzt "Fehler 1008, es wurde versucht auf ein Token zuzugreifen, das nicht vorhanden ist"
als System kommt "Fehler 13: Die Daten sind unzulässig".

 

:)

 

Share this post


Link to post
wuffzack

Das ist wahr, aber das hat immer noch nichts mit "Remote Desktop" zu tun. Ich starte den service auch nicht als User, sondern mit dem lokalen Systemkonto.

Share this post


Link to post
Griga

Der Fehler 1008 kommt platt gesagt, wenn der DMS in dem Benutzerkonto, in dem die Aufgabe laufen soll, nichts starten kann. Entweder, weil ihm Rechte fehlen, oder das Konto nicht existiert oder nicht aktiv ist, weil sich niemand eingeloggt hat. Eine Remote Desktop-Verbindung ist für Windows verwaltungstechnisch offenbar etwas anderes als ein lokales Einloggen in das Konto bzw. unterliegt anderen Richtlinien. Es ist in den Maßnahmen, die der DMS für die Ausführung einer Aufgabe im lokalen Benutzerkonto durchführt, offenbar nicht inbegriffen.

 

Was der DMS macht, ist im wesentlichen

SessionID := WTSGetActiveConsoleSessionId;
if WTSQueryUserToken(SessionID, hToken) then
  CreateProcessAsUser....

Da WTSQueryUserToken bei dir fehlschlägt, wird CreateProcessAsUser nicht ausgeführt. Man müsste nun recherchieren,, wie es sich bei diesen Windows API-Aufrufen einschließlich WTSGetActiveConsoleSessionId mit einem Remote Desktop verhält...

 

  • Like 1

Share this post


Link to post
DetlefM
3 hours ago, wuffzack said:

Lokaler User mit lokalem Passwort.

Ich wüsste nicht, was das mit dem Aufnahmeordner zu tun hat. In dem o.g. Beispiel starte ich eine Aufgabe (keine Aufnahme) manuell durch das Webinterface.

Es funktioniert nur dann nicht, wenn ich mich via Remote Desktop einlogge. Wenn ich das nicht tue, funktioniert es.

 

Wenn Du Dich mit einem lokalem User mit lokalem Passwort bei einem entfernten Rechner anmeldest bist Du im Sinne von Windows ein fremder Benutzer mit irgendwelchen Rechten. Wenn Du Dich mit einem Windowsaccount auf einem anderen Rechner der auch einen User mit diesem Windowsaccount hat per RDP einloggst dann bist Du der identische/gleiche Nutzer und damit bist Du der gleicher Nutzer (identisch) als wenn Du vor der Maschine sitzt.

Wenn Du per Webinterface eine Eingabe machst dann läuft der Webservice (der DMS) auch mit den Rechten des User Account der Maschine (als wenn Du direkt vor der Maschine sitzt).  Und wie geschrieben wenn Du Dich mit einem anderen Account an der Maschine identifizierst hast Du nicht automatisch die gleichen Rechte (meist schon aber nicht immer).

Share this post


Link to post
wuffzack
15 hours ago, DetlefM said:

 

Wenn Du Dich mit einem Windowsaccount auf einem anderen Rechner der auch einen User mit diesem Windowsaccount hat per RDP einloggst dann bist Du der identische/gleiche Nutzer und damit bist Du der gleicher Nutzer (identisch) als wenn Du vor der Maschine sitzt.

 

Genau das tue ich. Es ist ein und derselbe User account. Einmal lokal/VNC (funktioniert), einmal RDP (funktioniert nicht).

Wie Griga schrieb, scheint sich die Windows API bei Remote Desktop login anders zu verhalten  Ist nicht so dramatisch, wenn man es weiss. "Kein Remote Desktop login machen bei Rechnern, auf denen DMS läuft". Ich fand es halt merkwürdig.

Share this post


Link to post
DetlefM
3 minutes ago, wuffzack said:

Genau das tue ich. Es ist ein und derselbe User account. Einmal lokal/VNC (funktioniert), einmal RDP (funktioniert nicht).

Wie Griga schrieb, scheint sich die Windows API bei Remote Desktop login anders zu verhalten  Ist nicht so dramatisch, wenn man es weiss. "Kein Remote Desktop login machen bei Rechnern, auf denen DMS läuft". Ich fand es halt merkwürdig.

 

Für Dich ist es der selber User Account aber nicht für Windows. Tatsächlich ist es für Windows der User Account des Clienten mit den Logindaten des Servers. Bei VNC bzw. beim Webinterface ist das wieder anders. Dort werden Deine "Aufträge" also Eingaben und Clicks mit der Maus durch die entsprechenden Serverprozesse (VNC Serverteil und MediaServer) auf dem Serverrechner (dem mit dem Mediaserver) an das Windows Betriebssystem weiter geleitet und da diese Server von Dir installiert wurden haben sie auch alle Rechte von dem lokalen Account auf dem Serverrechner.

Wie geschrieben das ist anders wenn Du Dich auf beiden Rechnern mit einem Windows Account anmeldest. Dann bist Du wirklich für beide Rechner der gleiche.

Share this post


Link to post
Griga

 

18 hours ago, Griga said:

Man müsste nun recherchieren,, wie es sich bei diesen Windows API-Aufrufen einschließlich WTSGetActiveConsoleSessionId mit einem Remote Desktop verhält...

 

https://stackoverflow.com/questions/14724468/unable-to-get-a-user-token-in-a-remote-session

 

Quote

WTSGetActiveConsoleSessionId returns the session that is currently attached to the physical console (MSDN). If you need to get a token for a remote session, you could call WTSEnumerateSessions first and look for the active session.

 

Share this post


Link to post
wuffzack
Posted (edited)
5 hours ago, DetlefM said:

Wie geschrieben das ist anders wenn Du Dich auf beiden Rechnern mit einem Windows Account anmeldest. Dann bist Du wirklich für beide Rechner der gleiche.

Glaub es mir. Es ist zweimal der gleiche User. Es sind sogar die gleichen Explorer Fenster / Fenster laufender Programme / Webbrowser / ... zwischen lokaler und RDP Session geöffnet.

 

Edited by wuffzack
typo

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...