cityempire 10 Geschrieben 19. Mai 2016 Melden Teilen Geschrieben 19. Mai 2016 Hallo, ich habe nun eine Testumgebung gebaut, die klappte nun auch. Diese habe ich nun mit einigen Anpassungen z.B. Namen der Server in die Prod Umgebung implementiert. (klappt leider nicht) Der Aufbau: w12rdcb.firma.intern -> Connection Brocker w12rdwa.firma.intern -> WebAccess (von Extern erreichbar mit öffentlichen Cert extern.firma.de) w12rdgw.firma.intern -> Gateway (von Extern erreichbar mit öffentlichen Cert externgw.Firma.de) w12rdlic.firma.intern -> Lizenzserver w12rdsh01..06.firma.intern -> Session Hosts Round Robin über Sammlung: rdp-Sammlung.Firma.intern (internes Wildcard Cert) Eine Frage: kann ich den WebAccess auf den GW installieren, finde ich schöner wegen einer gleichen URL. Oder wie könnte man es noch bauen ? Nun mein Problem: wenn ich die Sammlung mit mstsc aufrufe, gebe ich den Benutzer an und Kennwort und die Verbindung wird aufgebaut. Soweit OK wenn ich über das Webaccess gehe, melde ich mich dort mit Domäne\Benutzer und Kennwort an und es werden alle Sammlungen angeboten die meinen Rechten entsprechen. Klicke ich eine Sammlung an, kommen derzeit noch zwei Zertifikatsmeldungen (damit stehe ich noch auf Kriegsfuss) Beim Bestätigen der Zweiten Meldung erschein ein Fenster, das der Benutzer nicht Autorisiert ist. Ich finde zu dieser Meldung aber keinen passenden Eventeintrag. Auf dem Server an dem ich mich Anmelden würde, kommen 5 Meldungen über den Login-Prozess, Interessant sind die letzen beiden: - Erfolgreich angemeldet - Abmeldung durch Benutzer Beides als Info. Mit der Netzwerkrichtlinie habe ich auch mal rumgetestet, um Fehler zu erzeugen, diese sehen aber anders aus. Was wären nun meine nächsten Schritte um den Fehler einzugrenzen ? Was habe ich schon gemacht: Ereignisprotokoll durchsucht Berechtigungen der Benutzer zur Remoteanmeldung geprüft. rdp-Datei runtergeladen und von Hand gestartet (nach längerer Zeit verlangt er auch ein neues Kennwort, wahrscheinlich anmeldetoken in der Datei, letzten beiden Zeilen) -> bricht mit der selben Fehlermeldung ab Namensauflösung geprüft (Server.firma.intern und Server.firma.de) beide über DNS (intern) auflösbar. Gruß Bernd Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 19. Mai 2016 Melden Teilen Geschrieben 19. Mai 2016 w12rdsh01..06.firma.intern -> Session Hosts Round Robin über Sammlung: rdp-Sammlung.Firma.intern (internes Wildcard Cert) Moin, zu DNS RR habe ich gerade hier etwas geschrieben: http://www.mcseboard.de/topic/207240-neues-san-zertifikat-über-active-directory-ca-zuweisen-rdp/?p=1303137 Zum Testen würde ich mal das TLG nachbauen (lässt sich auch um Gateway und weitere Session Hosts erweitern) https://technet.microsoft.com/en-us/library/hh831610%28v=ws.11%29.aspx Web Access und RDS gateway verwenden verschiedene Verzeichnisse im IIS. Es kann auf einer Maschine funktionieren. Ich trenne grundsätzlich alle RDS Rollen. Das macht die Wartung, Migration und Skalierung der Umgebung deutlich einfacher. Zitieren Link zu diesem Kommentar
cityempire 10 Geschrieben 20. Mai 2016 Autor Melden Teilen Geschrieben 20. Mai 2016 Hallo, das ist das Problem, das TLG hatte ich schon nachgebaut, was in meiner Testumgebung auch geklappt hat und auch um Erfahrungen zu Sammeln. Dabei bin ich auf ein Problem gestoßen, weshalb ich Round Robin eingesetzt habe. Was nach folgenden Artikel irgendwie Falsch aussieht und die Funktion des ConnectionBroker aushebelt, siehe Link https://blogs.technet.microsoft.com/bernedel/2012/10/22/microsoft-desktop-virtualisierung-2012/ Dort ist eine Schöne Grafik, so wie ich finde. Jetzt stellt sich mir die Frage, wie bringe ich das meinen ThinClients bei, den dazu habe ich noch keine Idee, dort hatte zumindest das Round Robin geklappt, die Verbindung zur Sammlung über den WebAccess hatte nicht geklappt. Nichts desto trotz bleibt noch das Problem, das Verbindungen über das WebAccess abgeleht werden. Die Fehlermeldung sieht im übrigen genauso aus, als wenn ich mich mit mstsc an einen Server remote anmelden möchte, für den ich nicht berechtigt bin. Daher klappte der ob beschriebene aufruf per mstsc. Bleibt für mich nur die Frage was machen, abreißen und neu bauen und hoffen das der Fehler nie wieder auftritt ( 2 Installationen und eine davon erfolgreich) oder weiter suchen, wobei ich nicht weis, wo ich weiter suchen kann. Den Ansatz der Trennung finde ich nachvollziehbar, würde ich auch gerne so umsetzen. Gruß Bernd Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 20. Mai 2016 Melden Teilen Geschrieben 20. Mai 2016 Was für Thin Clients sind im Einsatz? Bei Igel Thin Clients klappt das wunderbar. Benutzerauthentifizierung gegen das AD und Remote Ressourcen per Feed vom WebAccess Zitieren Link zu diesem Kommentar
cityempire 10 Geschrieben 20. Mai 2016 Autor Melden Teilen Geschrieben 20. Mai 2016 Hallo, es sind Linux Basierende Thinclients. ELux NG 4.x ist der stand den wir nutzen können, da wir die Lizenz nicht verlängert haben, da die Geräte selbst langsam alle kaputt gehen ( Fujitsu Siemens S550) der Einschalter löst sich in Luft auf. Daher steht demnächst noch eine Migration an, sobald diese durch ist. Ich hatte es mit RDConnect getestet, jedoch nach docu wird das Protokoll von Server 2012 nicht unterstützt. Danach habe ich den FreeRDP Probiert, damit habe ich eine Verbindung aufbauen können, jedoch eine reine RDP-Verbindung, nicht über den Session Host. Mehr Möglichkeiten habe ich nicht mit ELux NG. Nur klappt derzeit keine Verbindung über das Webaccess, was ich für die pc bebötige, über diesen weg hatte ich keine Verbindung mit den ThinClients herstellen können. Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 21. Mai 2016 Melden Teilen Geschrieben 21. Mai 2016 Bei alten RDP Clients hast Du keine Chance, eine "saubere" RDS Umgebung zu betreiben. Am Besten wäre ein Upgrade auf 2012R2 kompatible Thin Clients. Kommt das nicht in Frage, bleiben nur Bastellösungen. Also je Session Collection einen eigenen Broker betreiben und auf dem Broker eine Umleitung auf eine Default Collection einrichten. WebAccess kann in diesem Fall nicht sinnvoll eingesetzt werden. Es gibt aber wenigsten einen Broker, der sich um das load balancing und ein session aware reconnect kümmert. https://ryanmangansitblog.com/2013/03/11/connection-broker-redirection-rds-2012/ Zitieren Link zu diesem Kommentar
cityempire 10 Geschrieben 22. Mai 2016 Autor Melden Teilen Geschrieben 22. Mai 2016 Hallo, die Weiterleitung werde ich morgen testen, aufgrund des gelernten sind mir eine Meldung auf dem Broker nach dem Systemstart aufgefallen: EventID 2056 Der Remotedesktop-Verbindungsbrokerserver konnte die Ziele für den Anbieter "NULL" nicht aus der Datenbank auflisten. Name der in einem Pool zusammengefassten virtuellen Desktopsammlung: NULL Fehler: Die Anmeldung bei der Datenbank ist fehlgeschlagen. Zitieren Link zu diesem Kommentar
cityempire 10 Geschrieben 24. Mai 2016 Autor Melden Teilen Geschrieben 24. Mai 2016 Hallo, bin nun ein schritt weiter, ich konnte durch eine neu Installation den Fehler nachstellen. Im grunde bin ich der Anleitung gefolgt wie in der zweiten Anleitung in folgendem Newseintrag:RDWeb zugriff von Extern, auch von mir. Ich denke ich habe etwas übersehen, weiss nur nicht was. Nach dem ausführen des Scriptes war eine Anmeldung mit obiger Fehlermeldung nicht mehr möglich. Nach dem rücksetzen und deaktivieren der Sammlungen und aktivieren der Sammlung klappte wieder alles. Eine Idee was ich vergessen haben könnte ? Werde mir nochmal eine Test Umgebung aufbauen wenn wieder zeit ist, hab ja bald Urlaub. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.