Terminal Server "Arbeitsdatei konnte von OL nicht erstellt werden..." und mehr

[Samoth 33]

Guten Abend zusammen,

 

heute wende ich mich wieder mit einem (für mich) recht rätselhaften Problem an euch.

 

Vor einigen Tagen gab es bei einem Kunden auf einem 2008 R2 Standard Terminalserver eine Infektion mit der Scareware "System Progressive Protection". Diese Infektion konnte ich mit Kaspersky vom Server putzen. Die Infektion wurde von einem User des TS ausgelöst, indem er einen Mail-Anhang öffnete. So viel zur Vorgeschichte.

 

Kurz danach kam es zum eigentlichen Problem:

Wenn sich die Mitarbeiter nun am TS anmelden und dort Outlook 2007 öffnen, erhalten sie unregelmäßig die Meldung

 

"Die Arbeitsdatei konnte von Outlook nicht erstellt werden. Überprüfen Sie die TEMP-Umgebungsvariable."

 

UPDATE:

Wenn Outlook diese Meldung ausgibt und ich starte Word, erscheint diese Nachricht dort auch. Allerdings mit "Word" statt "Outlook" in der Beschreibung.

 

Bei Excel erscheint auch eine Benachrichtigung:

"MS Excel kann keine weiteren Dateien öffnen oder speichern, da nicht genügend Arbeitsspeicher oder Festplattenplatz vorhanden ist.

- Schließen Sie andere Arbeitsmappen oder Programme, die Sie nicht mehr benötigen, um mehr Speicherplatz verfügbar zu machen.

- Löschen Sie nicht mehr benötigte Dateien vom Datenträger, um mehr Speicherplatz verfügbar zu machen."

 

Über eine Recherche, bin ich dann auf Fehlerbehebungen wie diese gestoßen: MS Outlook FAQ - Outlook 2002/2003/2007/2010 - Beim Start von Outlook erhalten Sie die Fehlermeldung "Die Arbeitsdatei konnte von Outlook nicht erstellt werden. Überprüfen Sie die TEMP-Umgebungsvariable". Die Beschreibung dort deckt sich mit einigen anderen Ansätzen im Internet. Diese Vorgehensweise bin ich durchgegangen, doch leider ohne Erfolg.

 

Im Ereignisprotokoll (Anwendung) taucht nicht regelmäßig, aber oft beim Abmelden die Warnung (ID 1530, Quelle: User Profile Service) auf:

 

"Es wurde festgestellt, dass Ihre Registrierungsdatei noch von anderen Anwendungen oder Diensten verwendet wird. Die Datei wird nun entladen. Die Anwendungen oder Dienste, die Ihre Registrierungsdatei anhalten, funktionieren anschließend u. U. nicht mehr ordnungsgemäß.

 

DETAIL -

1 user registry handles leaked from \Registry\User\S-1-5-21-3579554168-1090158671-1828988468-1206:

Process 944 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3579554168-1090158671-1828988468-1206\Printers\DevModePerUser"

 

Oben schrieb ich, dass die Fehlermeldung im Outlook nur manchmal auftritt. Ab-/Anmelden hilft anscheinend. Bis vor kurzem dachte ich, dass die Meldung auftritt, wenn auch die Warnung im Ereignisprotokoll zu lesen ist. Eben habe ich einige Male Ab-/Angemeldet und es nachvollzogen. Sie scheinen nicht voneinander abhängig. Manchmal tritt die Warnung auf und Outlook liefert keine Fehlermeldung.

 

Das haben wir bereits versucht:

 

01. Anleitung von oben abgearbeitet. Pfad umlegen klappt, doch nach einer erneuten Ab-/Anmeldung ist wieder alles beim alten.

 

02. Wir haben das Profil eines Users gelöscht (Arbeitsplatz, Eigenschaften, Erweiterte Systemeinstellungen, Benutzerprofile). Der Benutzerordner in C:\Benutzer war danach verschwunden. Beim erneuten Anmelden wurde er wieder angelegt und die Fehlermeldung tritt weiterhin unregelmäßig auf.

 

03. Kaspersky komplett deinstalliert, weil hier (http://mountainbrother.wordpress.com/2012/03/20/id-1530-on-terminalserver-2008-r2-7-rdp-session-logout-behavior/) jemand auch diese Warnung hatte. Sie bleibt aber auch ohne KAV bestehen.

 

Habt ihr vielleicht noch Ideen dazu? Fehlen euch noch Informationen - liefere ich sehr gerne nach. Laut Aussage vom Kunden gibt es beim Auftreten der Fehlermeldung auch Probleme beim Abspeichern von Mail-Anlagen oder beim Erstellen von Word Dokumenten.

 

Dankeschön und vielen Dank für alles, was jetzt vielleicht noch von euch kommt :-)

 

Gruß

Samoth

bearbeitet 9. November 2012 von Samoth

[NorbertFe 2.104]

Ich würde bei sowas den sicheren aber aufwändigen Weg der kompletten Neuinstallation gehen. alles andere hinterlässt im besten fall ein schlechtes gefühl und im schlechten fall ein Mitglied im botnetwork.

[Samoth 33]

Hallo NorbertFe,

 

dank dir für die (zugegebenermaßen ernüchternde) Antwort :-). Nimm es mir nicht übel, aber habe ich noch Alternativen? Zeitlich ist es momentan ein bisschen unmöglich, den TS neu zu installieren.

 

Wie schaut es denn mit dem Support von MS aus? Haben die noch kostenpflichtige Hotlines, die entsprechende Fälle bearbeiten?

 

Viele Grüße

Samoth

[Sunny61 811]

Wie schaut es denn mit dem Support von MS aus? Haben die noch kostenpflichtige Hotlines, die entsprechende Fälle bearbeiten?

 

Kostenpflichtigen Support kannst Du bei MS haben, aber ob sie dir in diesem Fall helfen, weiß ich nicht. Hier findest Du eine große Auswahl an Kontaktmöglichkeiten: Microsoft Hotline - Hilfe, Support, Problem-Loesung, Kontakt, Telefon - Giza-Blog.de - [Weblog von Kay Giza]

[Gulp 265]

Und letztlich wirst Du trotz aller Bemühungen und Support nie zweifelsfrei wissen, ob nicht doch irgendetwas bisher unbekanntes an Malware seinen Weg durch die offensichtliche Infektion mit irgendwas auf den Server gefunden hat.

 

Stellt sich die Frage, wie es mit einem sauberen Backup aussieht. Wenn es da auch düster mit aussieht, sollte man im Nachgang an ein entsprechendes Konzept denken, dann spielt der Faktor "gerade wenig Zeit" auch eine wesentlich untergeordnete Rolle.

 

Grüsse

 

Gulp

[Samoth 33]

...ob nicht doch irgendetwas bisher unbekanntes an Malware seinen Weg durch die offensichtliche Infektion mit irgendwas auf den Server gefunden hat.

 

Das ist vollkommen richtig. Unsicher bin ich da schon.

 

Es gab die Überlegung, den Server zu virtualisieren... wäre in dem Zug eine Möglichkeit. Ich muss das einmal mit den Kollegen und dem Kunden besprechen...

 

Danke soweit :-)