CTX-Blog

Eine Sicherheitslücke im Citrix Presentation Server Session Reliability Service ist kürzlich entdeckt worden. Durch eine präparierte Anfrage an den XTE Service kann ein Angreifer TCP Sitzungen zu jedem lokalen Port der betroffenen Maschine aufbauen. Dadurch können Sicherheits Policies umgangen werden und lokale Ports trotz Firewall von Remote angesprochen werden.

Für folgende Produkte ist der Fehler bestätigt und sind HotFixes verfügbar:

• Citrix MetaFrame Presentation Server 3.0

• Citrix MetaFrame Presentation Server 4.0

• Citrix Access Essentials 1.0

• Citrix Access Essentials 1.5

Andere Versionen von Citrix Presentation Server, Citrix Access Essentials oder Citrix Desktop Server sind von dieser Sicherheitslücke nicht betroffen.

Wird Session Reliability nicht verwendet, besteht keine Gefahr für die Sicherheit des Presentation Servers.

Citrix stellt hier (CTX112964) HotFixes in allen Sprachen bereit.

Gruss
Ecki

A security flaw in the Citrix Presentation Server Session Reliability service has been found recently. The Session Reliability service is used by some Citrix products to improve user experience when connecting over unreliable networks. By sending a specifically crafted request to this service, an attacker could establish a TCP connection to any port on the local machine. This could be used by the attacker to bypass network security policies and remotely access local ports on the target machine.

This vulnerability is present in the following versions of Citrix products:

• Citrix MetaFrame Presentation Server 3.0

• Citrix MetaFrame Presentation Server 4.0

• Citrix Access Essentials 1.0

• Citrix Access Essentials 1.5

No other versions of Citrix Presentation Server, Citrix Access Essentials or Citrix Desktop Server are affected by this issue.

Customers running an affected product with the Session Reliability feature disabled are not affected by this issue.

Downloads for all languages are available here (CTX112964).

Regards
Ecki

Welcher AAC Admin hat nicht schon einmal über das Verhalten des EPA-Scans geflucht. Sobald auch nur ein EPA-Scan in der AMC (Access Management Console) definiert ist, wird der EPA-Scan bei jedem LogonPoint automatisch gestartet, egal, ob er gebraucht wird, oder nicht.

Sehr lästig ist dieses Verhalten z. B. bei einem reinen OWA (Outlook Web Access) LogonPoint, der nichts anderes, als einen eingeschränkten Zugriff auf das persönliche Mailkonto bereitstellen soll. Damit er von Ãœberall her funktioniert und auch “Clientless” arbeitet, darf er natürlich keinen EPA-Scan voraussetzen. Trotzdem erscheint bei jedem Aufruf dieses LogonPoints der Download- und Installationshinweis für den EPA-Scan-Client. Ein beherzter Klick auf “Skip Scan” bringt einen zwar weiter, ohne den Client installieren zu müssen, der Download findet aber trotzdem jedes Mal im Hintergrund statt, sehr hinderlich, bei langsamen Internetverbindungen. Dazu kommt die Verunsicherung weniger computeraffiner Zeitgenossen, die u. U. endlos versuchen, auf eingeschränkten InternetCafe PC’s den EPA-Scan-Client zu installieren, was ihnen mangels Rechten nie gelingen wird…

Per Zufall bin ich kürzlich über eine Option gestolpert, die dieses Verhalten ändern kann. Gut versteckt und kaum dokumentiert, werden sie wohl bisher nur Wenige entdeckt haben. Der Schlüssel befindet sich in der Datei “web.config” im Root des jeweiligen LogonPoint Verzeichnisses.

Auf einem Standard AAC Server vermutlich unter:

C:\Inetpub\wwwroot\CitrixLogonPoint\#LogonPointName#

Es existiert noch eine weitere Version dieser Datei unter “C:\Inetpub\wwwroot\CitrixLogonPoint\”, welche unberührt bleiben sollte !

Diese Datei lässt sich mit einem Editor wie z. B. NotePad öffnen und bearbeiten. Im letzten Drittel findet sich der Abschnitt <appSettings>, in dem diverse Einstellungen vorgenommen werden können. Unter Anderem lässt sich hier auch der EPA-Scan deaktivieren. Dazu genügt es, folgende Zeile unter dem <appSettings> Block einzufügen:

<add key=”EndpointAnalysisDisabled” value=“true” />

Der Abschnitt sollte dann so aussehen:

<appSettings>
<add key="DebugConsoleTrace" value="False" />
<add key="AdvancedGatewayClientDownloadUrl" value="http://www.citrix.com" />
<add key="AdvancedGatewayClientActivationDelay" value="10" />
<add key="MaxConnectionsToAuthenticationService" value="20" />
<add key="LogonPointId" value="00000000-0000-0000-0000-000000000000" />
<add key="DeployedBy" value="LACONFIG" />
<add key="ExtendedSecurIdFunctionalityEnabled" value="true" />
<add key="SecondaryAuthenticationIsOptional" value="false" />
<add key="EndpointAnalysisDisabled" value="True" />
<!- -

Nach dem Speichern der Datei gelangt der User bei diesem einen LogonPoint nun direkt zur Eingabemaske für seinen Usernamen und sein Passwort, ohne Umweg über die EPA-Scan Zwischenseite 🙂

AAC Tuning, Teil 2 >>

!!! Bitte beachtet den ersten Kommentar zu diesem Beitrag !!!

Gruss
Ecki

Is there any AAC admin happy with the way, EPA scans behave? Once you create just one EPA scan in the AMC (Access Management Console), the EPA scan gets started automatically on every LogonPoint, regardless whether this is wanted/needed or not.

This behavior is for example very annoying at OWA (Outlook Web Access) LogonPoints, that are created only to allow restricted access to the personal mail from anywhere. To operate “client less” from anyplace, anywhere, no EPA scans may be required. On a standard LogonPoint the EPA scan appears anyway with his download and installation directions. If you click on the “Skip Scan” button, you can proceed without scanning your PC, but the download of the EPA scan client still takes place in the background, steeling you valuable bandwidth. In addition, less computer versed users in an internet cafe with restricted PCs might end up trying to install the EPA scan client over and over without a chance to succeed…

Recently I stumbled upon an option that is able to stop this “misbehavior”. Well hidden and badly documented, the chances are good, that only few people discovered this option so far. The solution can be found in the “web.config” file in the root of the respective LogonPoint directory.

On a standard AAC server this is presumably:

C:\Inetpub\wwwroot\CitrixLogonPoint\#LogonPointName#

There is an other version of this file in the “C:\Inetpub\wwwroot\CitrixLogonPoint\” directory which should stay untouched !

This file can be opened and edited with any editor like the Windows NotePad. In the last third of the file you can find a section <appSettings>, which gives you some interesting possibilities. Among other things you can disable EPA scans here. All it needs is to add the following line below the <appSettings> section:

<add key=”EndpointAnalysisDisabled” value=“true” />

The section should look like this afterwards:

<appSettings>
<add key="DebugConsoleTrace" value="False" />
<add key="AdvancedGatewayClientDownloadUrl" value="http://www.citrix.com" />
<add key="AdvancedGatewayClientActivationDelay" value="10" />
<add key="MaxConnectionsToAuthenticationService" value="20" />
<add key="LogonPointId" value="00000000-0000-0000-0000-000000000000" />
<add key="DeployedBy" value="LACONFIG" />
<add key="ExtendedSecurIdFunctionalityEnabled" value="true" />
<add key="SecondaryAuthenticationIsOptional" value="false" />
<add key="EndpointAnalysisDisabled" value="True" />
<!- -

After saving the changes, a user calling this manipulated LogonPoint will now be forwarded immediately to the login prompt without seeing any EPA “nag screen” 🙂

AAC tuning, part 2 >>

!!! Please read the first comment to this post !!!

Regards
Ecki

Wenig bekannt ist die Tatsache, dass der Secure Access Client (4.2 und später, einschliesslich net6vpn.exe) über einige interessante Kommandozeilen Parameter verfügt. Daher will ich diese hier kurz vorstellen. Der interessanteste Einsatzzweck sind sicher automatisierte Installationen via Softwareverteilung, oder einfachem Batch Script.

Achtung: Bei diesen Parameter ist die GROSS/klein-schreibung wichtig!

Folgende Parameter stehen zur Verfügung:

• -C zeigt das Konfigurations Interface (GUI) an
  Beispiel: “CitrixSAClient.exe –C”

• -H verbindet auf die angegebene Serveradresse und Port (Syntax: -H SERVER_IP:PORT)
  Beispiel: “CitrixSAClient.exe –H 192.168.1.1:443”

• -p zwingt den Client, den angegebenen Proxy zu verwenden (Syntax: -p PROXY_IP:PORT)
  Beispiel: “CitrixSAClient.exe –p 192.168.1.1:8080”

• -i Installiert den Client, wird meist mit anderen Parametern verwendet
  Beispiel: “CitrixSAClient.exe –i”

• -D konfiguriert die URL für das Desktop Icon für Advanced Access Control (Syntax: -D AG_AAC_URL)
  Beispiel: “CitrixSAClient.exe -D https://cag.company.com”

• -Q Quiet Mode, unterdrückt alle Meldungen. Dieser Parameter kann nur in Verbindung mit -i (Install), oder -U (Uninstall) verwendet werden. Er muss vor allen anderen Parametern stehen
  Beispiel: “CitrixSAClient.exe –Q”

• -U Deinstalliert den Client und Treiber
  Beispiel: “CitrixSAClient.exe –U”

• -v zeigt Versionsinformationen zum Client
  Beispiel: “CitrixSAClient.exe –v”

Ein Beispiel für eine Silent Installation in Verbindung mit AAC sähe so aus:
CitrixSAClient.exe –Q –D https://AG_AAC_URL –i

Eine Installation für ein Access Gateway Standard sähe so aus:
CitrixSAClient.exe –Q –H [AG_SYSTEM_FQDN]:[AG_SYSTEM_PORT] –i

Gefunden unter CTX108757.

Gruss
Ecki

It is a little known fact, that the Secure Access Client (4.2 and later, including net6vpn.exe) offers some interesting command line parameters. I will therefore present them here. The most intersting part is the ability to automate installation of the client via software deployment or simple batch script.

Note: These parameters are case-sensitive.

The following parameters are available:

• -C Configure the Virtual Private Networking (VPN) client–bring up the GUI configuration screen
  Example: “CitrixSAClient.exe –C”

• -H Connect to a specific server address and port (Syntax: -H SERVER_IP:PORT)
  Example: “CitrixSAClient.exe –H 192.168.1.1:443”

• -p Connect with a proxy IP address and port (Syntax: -p PROXY_IP:PORT)
  Example: “CitrixSAClient.exe –p 192.168.1.1:8080”

• -i Install the client. This is used in combination with other parameters for silent installations
  Example: “CitrixSAClient.exe –i”

• -D Sets the URL for the desktop icon for Advanced Access Control mode (Syntax: -D AG_AAC_URL)
  Example: “CitrixSAClient.exe -D https://cag.company.com”

• -Q Quiet mode parameter–this can only be used during an install (-i) or uninstall (-U). It must appear before all other parameters
  Example: “CitrixSAClient.exe –Q”

• -U Uninstall the VPN client and drivers
  Example: “CitrixSAClient.exe –U”

• -v Shows the version of the client you are launching
  Example: “CitrixSAClient.exe –v”

Below is a syntax example for a silent installation with Advanced Access Control integration:
CitrixSAClient.exe –Q –D https://AG_AAC_URL –i

A silent installation for Access Gateway Standard would look like that:
CitrixSAClient.exe –Q –H [AG_SYSTEM_FQDN]:[AG_SYSTEM_PORT] –i

From CTX108757.

Regards
Ecki

Citrix Advanced Products Group hat kürzlich eine interessante Preview veröffentlicht, das Dynamic USB Utility for the 32-bit Windows Presentation Server Client.

Dynamic USB ermöglicht den Zugriff auf USB Laufwerke, die erst nach dem Aufbau einer Presentation Server Session verbunden wurden. Das Tool erstellt für jeden angesteckten USB Speicher ein Verzeichnis unter C:\CitrixUSBStore im Dateisystem des Clients. In diesem Verzeichnis erscheinen alle Dateien des verlinkten USB Laufwerks. Wenn das Laufwerk später entfernt wird, wird das entsprechende Verzeichnis wieder gelöscht.

Voraussetzungen
Das Tool setzt zwingend ein NTFS Filesystem auf dem Client voraus. Windows XP wird als Minimalvoraussetzung genannt.

Installation
Das Tool muss nicht installiert werden, es ist, nach dem Entzippen, direkt lauffähig.

Bedienung

1. Der Start von DynamicUSB.exe auf dem Client erzeugt ein System Tray Icon.

2. Wenn jetzt ein USB Speicher angesteckt wird, erstellt DynamicUSB ein Verzeichnis C:\CitrixUSBStore\Drive_X, wobei:

• X: der Laufwerksbuchstabe des angesteckten USB Speichers ist

• Drive_X ein Link zu X:\ darstellt

3. Wenn der USB Speicher abgesteckt wird, wird das Verzeichnis Drive_X gelöscht.

Das Erstellen, bzw. das Löschen dieses Verzeichnisses kann beim An- und Abstecken eines USB Speichers in einer Presentation Server Session beobachtet werden.

Default Verzeichnis anpassen
Um das Default Verzeichnis (C:\CitrixUSBStore), für die verlinkten USB Speicher zu modifizieren, kann das Tool mit Parameter gestartet werden:

DynamicUSB “FullPathoftheDesiredRootDirectory”

Falls Leerzeichen im gewünschten Zielverzeichnisnamen vorhanden sind, muss der Parameter zwingend in Anführungsstriche gesetzt werden.

Das Tool kann hier heruntergeladen werden.

Gruss
Ecki

Citrix Advanced Products Group investigates emerging technologies relevant to the Citrix business mission, and creates research, prototypes and first release versions of products addressing these technologies. As part of this effort, the Advanced Products Group periodically releases technical preview versions of products to the Citrix community to encourage feedback.

Overview
DynamicUSB allows you to access a USB drive in a Presentation Server session in situations where the device is connected to a client system after the Presentation Server session is established.

The utility creates a directory under C:\CitrixUSBStore in the client file system for each USB drive that is inserted into the client device. This linked directory reflects the contents of the USB drive; thus, all directories and files in the USB drive appear as directories and files under the linked directory. If the USB key is subsequently removed, the utility deletes the corresponding link directory.

The user can access the linked directory from a Presentation Server session using client drive mapping functionality.

Prerequisites
This utility is designed to work only on client systems that support the New Technology File System (NTFS). A Windows XP or later variant of the client operating system is a prerequisite.

Installing DynamicUSB
There is no specific installer for this utility. Extract the executable DynamicUSB.EXE and proceed to use it as described below.

How to Use DynamicUSB

1. Run DynamicUSB.EXE on the client workstation. It creates a system tray icon.

2. Plug in a USB key. DynamicUSB creates a directory called C:\CitrixUSBStore\Drive_X where:

• X: is the USB drive letter assigned to the USB key by the client operating system

• Drive_X is a link to X:\

3. When you unplug the USB key, the utility deletes the directory Drive_X.

You can observe directory Drive_X being dynamically created or destroyed in the Presentation Server session as you plug or unplug your USB key.

Modify the Default Root Directory for Linked Directories
To modify the default directory in which linked directories are created (C:\CitrixUSBStore), launch DynamicUSB with the following command line:

DynamicUSB FullPathoftheDesiredRootDirectory

If FullPathoftheDesiredRootDirectory has spaces, enclose it with double quotation marks as shown below:

DynamicUSB “FullPathoftheDesiredRootDirectory”

You can download the tool here.

Regards
Ecki

Citrix Support hat hier eine interessante FAQ zum Thema Application Streaming zusammengestellt. Dieser Artikel ist nicht statisch, sonder wird in der kommenden Zeit mit neuen Themen ergänzt werden. Es lohnt sich also, hier regelmässig vorbeizuschauen.

Gruss
Ecki

The following article by Citrix Support represents a FAQ for the Application Streaming feature in Citrix Presentation Server 4.5. This article isn’t static, but will be updated periodicaly. So remember to come back.

Regards
Ecki

In der Nacht vom 18. auf den 19. April wurde von Citrix Version 4.5.2 des Citrix Access Gateway (Standard und Advanced) zum Download freigegeben. Es beinhaltet neben einigen speziellen Fehlerbereinigungen, auch solche, die sich im tägliche Leben manifestieren.

Der IMHO Wichtigste behebt ein Problem, bei dem der Secure Access Client, wenn er von seinem Desktop Icon aus gestartet wurde, sehr lange in der Startleist “Shutting Down” anzeigte, bevor er dann den Browser zur Authentifizierung startete.

Weitere spürbare Verbesserungen sind:

• Downloads grösser 512 MB funktionieren jetzt über das CAG
• Damit der EPA Scan funktionierte, musste die Website im IE unter “Trusted Sites” konfiguriert sein
• Der Upload eines fehlerhaften Zertifikates machte bei vorangegangenen Versionen eine komplette Neuinstallation notwendig

Dazu kommen eine ganze Reihe weitere Fixes, die jedoch nur in speziellen Situationen hilfreich sind und daher hier nicht aufgeführt wurden. Alle gelösten Probleme und der Download finden sich hier.

Gruss
Ecki

April 18. Citrix released Citrix Access Gateway (Standard and Advanced) v4.5.2. This update comprises a couple of interesting fixes. Beside others, the main improvements are IMHO the fixes of the following issues:

• When the Secure Access Client is started from the desktop icon, the taskbar button displays “Shutting Down,” and the portal page is not displayed for a significant amount of time
• Downloading files larger than 512 megabytes through the Access Gateway fail
• When users attempt to log on using the Endpoint Analysis Client, they cannot log on if the Web site is not trusted
• The Access Gateway fails when an invalid certificate is installed using the Administration Portal

A complete list of fixes and the download can be found here.

Regards
Ecki

Probleme mit Druckertreibern zeigen sich heutzutage häufig erst dann, wenn mehrere Anwender gleichzeitig versuchen, Printerqueues zu erzeugen. Auf Terminal Servern ein häufig anzutreffendes Szenario. Schlecht programmierte Treiber, im Sinne von “Multi Threaded Performance” können dann dazu führen, dass der Print Spooler instabil wird, oder sogar spontan abstürzt. Die Multi Threaded Performance der Treiber liess sich bisher nur im realen Betrieb beobachten.

Nun hat Citrix kürzlich sein Drucker Treiber Stress Test Tool aktualisiert. Dieses frei erhältliche Tool ermöglicht es Administratoren, die gleichzeitige Erstellung von “Autocreated Printer” mit einer beliebigen Anzahl User zu simulieren. Dabei können einzelne Druckertreiber auf Herz und Nieren getestet werden.

Die wichtigsten Parameter, welche dabei beobachtet werden können sind:

• Prozessorlast, die ein spezifischer Treiber für die Erstellung seiner Queue erzeugt
• Zeit, die für die Erstellung der Queue benötigt wird

Download und weitere Informationen zu dem Tool finden sich hier:

StressPrinters 1.2 for 32-bit and 64-bit Platforms

Gruss
Ecki

Citrix released a new version of their free tool ” StressPrinters 1.2″ On DABCC you can find an article regarding this tool. It can be found here:

Citrix Releases Printer Driver Stress Testing Utility – StressPrinters Version 1.2

Download and further informations about this tool can be found directly at Citrix:

StressPrinters 1.2 for 32-bit and 64-bit Platforms

Regards
Ecki

Nach einer längeren Beta Tesphase ist seit letzter Woche die Firmware 8.0 für das Access Gateway Enterprise verfügbar, auch bekannt unter dem Codenamen “Timpanogos”. Access Gateway Enterprise ist der letzte Spross der Access Gateway Familie. Die Software läuft nur auf NetScaler Hardware, kann daher aber prinzipiell auch die erweitereten Funktionen der NetScaler Familie, wie z. B. Loadbalancing, Application Accelleration, etc., bieten. Ãœber das Funktionsspektrum entscheidet hier in erster Linie das Lizenzfile.

NetScaler konnten schon vor diesem Release SSL VPN’s bereitstellen, aber erst seit dieser Version ist es möglich, Citrix Farmen über den neuen ICA Proxy bereitzustellen, wie es die Standard und Advanced Edition bereits länger beherschen. Dadurch ist es Usern nun ebenfalls möglich, über einen NetScaler auf interne Presentation Server Farmen zuzugreifen, ohne einen VPN Client installieren zu müssen. NetScaler kann aus diesem Grund nun ebenfalls, wie seine kleineren Brüder, als Ersatz für Windows Server mit Citrix Secure Gateway in der DMZ verwendet werden.

Der grösste Unterschied zwischen den unterschiedlichen Access Gateway Versionen liegt, neben der Hardware und dem Betriebssystem, in der Skalierbarkeit. Unterstützt ein Access Gateway Standard bis zu 2000 gleichzeitige ICA Sitzungen, skaliert NetScaler von 2’500 (Modell 7000) bis 10’000 (Modell 10000) gleichzeitigen Sitzungen über eine einzige Appliance. Die Enterprise Version benötigt keinen zusätzlichen Windows Server wie die Advanced Edition, alle Funktionen finden sich auf der Appliance.

Die wichtigsten Features in diesem Zusammenhang (ohne Anspruch auf Vollständigkeit) sind:

• Authentifizierung mit SmartCard – Anmeldungen ohne Username/Passwort sind an einem NetScaler mittels SmartCard oder anderen MSCAPI (Microsoft Crypto API) fähigen Anwendungen möglich.

• Mehrere virtuelle Server auf einer Appliance – Es können mehrere unabhängige virtuelle SSL VPN Server auf einer Appliance betrieben werden, die sich durch unterschiedliche Zertifikate, Policies und IP-Adressen unterscheiden können.

• Kompression des VPN Traffics – Da es sich hier prinzipiell um einen NetScaler handelt, können dessen eingebauten Kompressionstechniken den VPN Traffic vor der Verschlüsselung reduzieren und so die Performance für den User verbessern.

• Eingebaute Hochverfügbarkeit – Zwei Appliances können problemlos in einer Active/Passive Konfiguration installiert werden. Alle Session Informationen können in Echtzeit zwischen den Appliances ausgetauscht werden, so dass im Fehlerfall einer Box keine Neuanmeldung der User notwendig ist.

Wie bei der Advanced Edition können die “Smart Access for Presentation Server” Features auch mit der Enterprise Version genutzt werden. So können Einschränkungen bezüglich Laufwerks-, oder Printermapping, Sichtbarkeit von Applikationen, etc. aufgrund des Ergebnisses eines Endgeräte Checks angewand werden.

Einige interessante Features der Advanced Edition sind allerdings leider bei der Enterprise Version bisher nicht verfügbar, andere werden es vermutlich nie auf die NetScaler Platform schaffen.

• Clientless Access auf interne Webseiten (Proxy) – Hierfür wird bei der Enterprise Version aktuell der VPN Client benötig.

• File Type Association – Ermöglicht es, z. B. Mail Attachments mit einem published Word/Excel… auf einem Presentation Server im Rechenzentrum zu öffnen, ohne das Dokument auf den Client Rechner transferieren zu müssen. Dies ist momentan für die Enterprise Version nicht verfügbar.

• HTML Preview – Eine Funktion, Office Dokumente und PDF’s auf dem Advanced Access Control Server in “non cachable HTML” umzuwandeln, so dass vertrauliche Informationen nicht in den Browsercache gelangen können. Da es sich hier um einen Windows Funktionalität handelt, bezweifle ich, dass dies jemals in der Enterprise Edition verfügbar sein wird.

Abschliessend kann daher gesagt werden, dass die Enterprise Edition vor allem in grossen Installationen über 500 gleichzeitigen Usern eine interessante Alternative zur Advanced Edition darstellt. Im Moment sind jedoch noch bei weitem nicht alle Features der Standard und Advanced Edition implementiert, so dass diese Versionen eventuell besser in ihre Umgebung passen. Citrix arbeitet jedoch mit Hochdruck daran, diese Lücken so schnell wie möglich zu füllen.

Gruss
Ecki

Jay Tomlin wrote an excelent article on this topic. You can find it here:

Jay Tomlin – Timpanogos

Regards
Ecki

Nach einigen Anpassungen am Theme und weiteren WordPress Dateien ist es nun endlich vollbracht. Das CTX-Blog ist zweisprachig. Die meisten Beträge sind mittlerweile übersetzt und sowohl auf Deutsch, als auch auf Englisch zu lesen.

Da sich Fehler nie ausschliessen lassen, bitte ich alle Leser, mir Fehler in der Ãœbersetzung in einem Kommentar zu diesem Beitrag zu melden.

Gruss
Ecki

After a couple of modifications to the used theme and some WordPress files i can now proudly present CTX-Blog in two languages. Most of the posts are translated in the meantime and are available in German and English.

Since no one is perfect, i ask every visitor to tell me about errors in the translations in a comment to this post.

Regards
Ecki

Wer schon ein Mal einen Desktop gepublished hat, kennt sich dieses Phänomen. Ein User meldet sich zum ersten Mal am Terminal Server an und obwohl weder im Default User, noch im All Users Profil ein Outlook Express Icon vorhanden ist, erscheint es im Startmenü des Users.

Wo kommt es her? Und noch viel wichtiger, wie bekomme ich es weg?

Das Icon manuell aus jedem Userprofil zu löschen kann keine Lösung sein, daher ist die Suche nach dem “Woher” der bessere Weg. Die Lösung findet sich, wie so oft, in der Registry

Unter dem Key:

HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}\

findet sich ein REG_SZ Eintrag mit dem Namen “StubPath“. Wenn dieser Eintrag gelöscht wird, erzeugt der Terminal Server keine neuen Outlook Express Icons mehr bei der Useranmeldung. Bestehende Icons werden dadurch jedoch nicht mehr entfernt.

Ein Beitrag aus der DCUG beschreibt das blosse Umbenennen des Eintrags in “HideStubPath“, welches den gleichen Effekt erzielt und sich leichter rückgängig machen lässt.

Gruss
Ecki

If you have ever published a terminal server desktop, you have seen this happening almost for sure. Even if there is no Outlook Express icon in the All Users or Default Users folder, the icon appears in the start menu after a user logs on for the first time.

Why is this happening? And much more interesting, how can you avoid this?

To delete the icon from every users profile is not a viable option. So it’s best to look for the root cause of this problem. As often, the solution can be found in the registry.

Below the key:

HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}\

you can find a REG_SZ entry with the name “StubPath“. If you delete this entry, the terminal server will never again create this icon at user logon. Existing icons however will not be deleted.

A post in the DCUG describes a similar procedure but simply renames the entry to “HideStubPath“. The effect is the same, but it is much easier to revert back.

Regards
Ecki