Remotedesktop Session Host und RemoteFX

[ejder178 12]

Hallo,

 

im Zusammenhang mit Remotedesktop Session Host (Terminalserver) und RemoteFX habe ich Probleme, was ich nicht ganz verstehen. Folgende Umgebung.

 

Physische Server

- 3 Host Server 2016 Datacenter Build 14393 inkl. GPU AMD FirePro S7000.

Virtuelle Server, Server 2016 Standard Build 14393

- RD-SH01 und RD-SH02 (Remotedesktop-Sitzungshost installiert), RemoteFX-3D Graffikkarte wurde hinzugefügt

- RD-V (Verbindungsbroker und Lizenzserver)

- RDWA (Web Access für RD)

 

Alles wurde soweit über die Remotedesktopdienste konfiguriert. Sammlung erstellt, ohne Benutzerprofil-Datenträger! DNS RR Eintrag "RDS" (IP´s der RD-SH01,RD-SH02).

Zertifikate wurden erstmal nicht konfiguriert!

 

Das Problem ist jetzt, verbinde ich "User1" mich jetzt über den DNS Eintrag "RDS", werde ich am "RD-SH01" angemeldet. Der nächste User2 der sich über "RDS" anmeldet, meldet sich an RD-SH02 an.

Der Dritte User3 will sich anmelden, wird weitergeleitet an RD-SH01 wo auch der "User1" angemeldet ist und der "User" erhält am Remotedesktop die Info:

Remotedesktopverbindung

Darf Domäne\User3 eine Verbindung mit dem Computer herstellen?

Klicken Sie auf "OK", um die Sitzung sofort zu trennen, oder klicken Sie auf "Abbrechen", um verbunden zu bleiben.

Wird keine aktion durchgeführt, wird die Sitzung in 30 Sekunden getrennt.

 

Das heißt, sobald sich ein zweiter User sich an einem Remotedesktop anmelden möchte, erhält der erste User die oben genannte Info. Mehrere User können sich somit nicht einloggen. Immer nur einer! Als wäre es ein Desktop Rechner, wo sich immer nur ein User anmelden kann. Dies ist es ja nicht, da hier auf beiden Server RD-SH01 und RD-SH02 die Rolle Remotedesktop-Sitzungshost installiert ist.

 

Testweise habe ich mal auf beiden RD-SH Server die RemoteFX Karte entfernt. Und  siehe da, jetzt können sich auch mehrere User am RD-SH anmelden. Wieso?

Ich möchte doch gerne die RemoteFX Funktion nutzen, da wir mehrere Standorte haben. Füge ich die RemoteFX Grafikkarte wieder hinzu, geht es wieder nicht. Wieso können sich mehrere User nicht anmelden, sobald ich die Remote-FX Graffikarte für die virtuellen Maschine hinzufüge?

Habe ich was übersehen?

zusätzlich habe ich auf den beiden RD-SH die GPO eingestellt: Computerkonfiguration -> Administrative Vorlage -> Windows-Komponenten->Remotedesktopdienste->Umgebung für Remotesitzung -> RemoteFX für WS2008R2 -"RemoteFX konfigurieren" ->aktiviert

http://2x.helpserve.com/knowledgebase/article/View/233/10/how-to-enable-and-configure-remote-fx

 

Habe ich ggf. noch was vergessen?

Vielen Dank.

 

 

[testperson 1.728]

Hi,

 

zum Einen solltest du kein DNS Round Robin nutzen und zum Anderen ist das Verhalten bei RemoteFX AFAIK so korrekt. Du musst die Terminalserver entweder auf der Hardware direkt samt GPU nutzen oder DDA (Discrete Device Assignment) für die VM nutzen.

 

Gruß

Jan

[ejder178 12]

Hey,

 

vielen Dank für die schnelle Antwort. DDA habe ich leider nicht beachtet.

Wenn ich DNS RR entferne, wie verbinde ich mich dann auf beide RD-SH? Welche IP oder Namen muss ich im RDP-Client angeben? Muss ich im Verbindungsbroker noch was einstellen?

Danke.

[testperson 1.728]

 

 

[ejder178 12]

Ok, Danke.

Habe es wie angegeben, den DNS Eintrag als Sammelnamen mit der IP vom Broker eingerichtet, Registry Eintrag im Broker erstellt, RDP-Client mit Erweiterung, wie du es angegeben hast. Klappt bis jetzt.

Nur mir ist jetzt aufgefallen, dass für die Remotedesktopdienste nicht die Servergespeicherten Benutzerprofile für Remotedesktopdienste (AD-Reiter "Remotedesktopdienste-Profil") benutzt wird, sondern das Benutzerprofil (AD-Reiter "Profil"), was eigentlich für die Clients ist.

Musst das beachtet werden?

https://social.technet.microsoft.com/Forums/de-DE/c0a69795-df36-4466-857c-84acb594bab4/rds-profiles-not-roaming-on-2016-servers-when-using-ad-profile-setting-but-works-with-gpo?forum=winserverTS

 

 

Das selbe gilt auch für die GPO´s. Habe eine OU eingerichtet, was nur für diese RD-SH gelten soll mit den Remotedesktopusern, als Loopback, dies wird nicht benutzt, sondern es werden die GPO´s für die Clients benutzt.

Folgende Schritte bin ich nochmal durchgegangen:

https://www.gruppenrichtlinien.de/artikel/remote-desktop-server-terminal-server/

 

Kann dies auch am DC liegen?

DC 1: Server 2008 R2 (Betriebsmaster, PDC) 

DC 2: Server 2016 Standard

 

Danke.

[testperson 1.728]

Hi,

 

ja. Ab 2016 muss der Regkey aus dem von dir verlinkten Artikel gesetzt werden. Ich würde es aber bevorzugen diese Dinge per GPO zu konfigurieren.

 

In welcher OU befindet sich denn der bzw. die RDSH?

Mit welcher OU wurde das GPO verknüpft?

Loopback Replace oder Merge?

 

Gruß

Jan

 

P.S.: Den Reg Eintrag am Broker brauchst du nicht. Wie im anderen Thread beschrieben, ist das nur ein Würgaround.

 

[ejder178 12]

Morgen,

 

danke für die Rückmeldung.

Habe eine OU "RDSm16" angelegt. In dieser sind auch die beiden RDSH Server. Habe dann zwei GPO´s eingerichtet RDSM16-ComputerPolicy und RDSM16-UserPolicy. In der ComputerPolicy habe ich den Loopback auf Replace erstmal gesetzt, so habe ich es auch auf den RDS 2008 Servern gemacht!

Habe dann eine Gruppe angelegt, die auf den RDSH Server zugreifen dürfen und mit den beiden Policy in der Delegierung eingefügt mit der jeweiligen Lese und Gruppenrichtlinie Berechtigung.

 

gpresult /r Meldung

Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
    ----------------------------------------------------------------------
        RDSm16-ComputerPolicy
            Filterung:  Verweigert (Sicherheit)

bearbeitet 30. Januar 2018 von ejder178

[testperson 1.728]

Hi,

 

die RDSH hast du auch (zweimal) durchgebootet, nachdem du sie in die OU geschoben hast?

Neben der Gruppe mit den RDS Usern dürfen auch die RDSH-Server das GPO lesen bzw. übernehmen?

 

Was gibt denn ein "gpresult /h gpo.html"?

 

Gruß

Jan

[ejder178 12]

Abgelehnte Gruppenrichtlinienobjekte

RDSm16-ComputerPolicy 

Verknüpfungsort Domäne.local/RDSm16 
Konfigurierte Erweiterungen Security
Registrierung 
Erzwungen Nein 
Deaktiviert Keine 
Sicherheitsfilter Domäne\RDSm16 
Revision AD (2), SYSVOL (65535) 
WMI-Filter   
Grund: abgelehnt Zugriff verweigert (Sicherheitsfilterung) 

mein RDSm16-BenutzerPolicy wird garnicht aufgelistet.

Neustart habe ich auch schon durchgeführt. Jap, beide RDSH-Server dürfen das GPO lesen und übernehmen.

Muss ich was in den jeweiligen GPO Policy unter dem Reiter "Details" -> Objektstatus beachten? Zur Zeit auf Aktiviert.

[testperson 1.728]

Welche Objekte sind in der OU RDSm16?

Falls da nur die RDSH Konten drin sind, dann lass doch die Delegierung / Filterung auf Standard und aktiviere nur den Loopbackverarbeitungsmodus.

[ejder178 12]

Ich habe jetzt alles mögliche versucht! Neue Sicherheitsgruppen erstellt, neue GPO´s etc. leider nein.

In der OU "RDSm16" sind nur die zwei RDS Server RD-SH01 und RD-SH02.

Wenn ich für die Authentifizierte Benutzer die Berechtigung "Gruppenrichtlinie übernehmen" also alles auf Standard lasse, dann geht es ja, aber diese Einstellung wird dann für alle also auch für Administratoren übernommen.

 

Ich weiß nicht mehr weiter...

 

[testperson 1.728]

Dann verweigere den Dom-Admins bzw. der Administratorengruppe das Übernehmen.

Die schönere Alternative wäre in den Sicherheitseinstellungen Authentifizierte Benutzer entfernen und den Benutzern bzw. der Gruppe mit den Benutzern sowie die Computerkonten bzw. der Gruppe mit den Computerkonten (RD-SH01 und RD-SH02) zu berechtigen das GPO zu lesen und zu übernehmen.

[ejder178 12]

 

Hallo und Danke nochmal für die Unterstützung.

Ich habe es jetzt soweit angepasst. Alles nochmal neu angelegt! Funktioniert auch.

Einige GPO/GPP´s sind auch angelegt. Ich habe noch zwei Sachen, was ich nicht umsetzten kann!

1. Ich möchte nicht, dass die User (außer Admin) die Window-Einstellung öffnen und alle Optionen anschauen/anpassen können. Es soll die Möglichkeit geben, dass z. B. die User nur auf Personalisierung zugreifen können! Hier gibt es eine Beschreibung, leider funktioniert es nicht!

https://social.technet.microsoft.com/Forums/de-DE/b96cc58d-a6f5-4621-a35e-e9e230a45a99/disable-windows-10-settings-but-keep-some-control-panel-items?forum=win10itprosetup

 

2. Es wurde Servergespeichertes Profil (Roaming) aktiviert. Wenn sich jetzt z. B. User1 zum ersten mal auf dem RD-SH01 anmeldet, erhält er alle Verknüpfungen, Symbole etc.

Meldet der User1 sich ab und wird dann vom Broker auf den zweiten RD-SH02 zugewiesen, sind zwar die Desktopverknüpfungen etc. zu sehen, aber das Startlayout (der rechte Abschnitt) und die Verknüpfungen "Meistverwendet" sind weg!

 

Meldet sich der User1 auf dem RD-SH01 wieder an, ist das Startlayout wieder da.

Wird dieser Bereicht nicht im AppData/Roaming/Mirosoft/ abgespeichert? Wird das Startlayout nur lokal gespeichert?

Kann man dies anpassen, das es auch als Roaming mit abgespeichert wird und auf allen RDSH Servern mit synchonisiert wird? Vielen Dank.

 

[Gadget 37]

Hi ejder178,

 

zu 1. das geht leider nur unter aktuelleren Windows 10 Builds aber nicht auf Windows Server 2016.

 

Workaround: Entzug der NTFS-Rechte für User auf "C:\Windows\ImmersiveControlPanel\SystemSettings.exe" per GPO.

Windows-Einstellungen/Sicherheitseinstellungen/Dateisystem (Admins explizite Rechte erteilen, Usern die Rechte entfernen).

 

Nachteil User können auch Hintergrundbild und co. nicht ändern, jedoch ist der Zugriff auf das Update-Panel durch die User nicht tragbar für uns, daher sperren wir dies auf Session Hosts über den Workaround immer.

 

zu 2. Hm naja mir kommt da der Gedanke warum User Profile Disks nicht zum tragen kamen in der Umgebung?

 

Gruß Gadget

 

[Gadget 37]

 

Microsoft Ignite Beitrag zur Roaming Profiles:

Roaming Profiles are Dead