Jump to content

RemoteApp- und Desktopverbindungen Anmeldeproblem


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich bin dabei eine neue Terminalserver Farm mit Windows Server 2016 aufzubauen, in diesem Zuge lassen sich ja die RemoteApps nun über einen Browser aufrufen/ausführen. Wir möchten jetzt aber nicht unbedingt, dass der Nutzer sein Browser öffnen muss um die RemoteApps auszuführen. Es gibt ja die Möglichkeit bei den Clients (in unserem Fall alles Windows 10 1809) in der Systemsteuerung unter "RemoteApp- und Desktopverbindungen" einen Feed einzutragen um die verfügbaren RemoteApps im Startmenü anzeigen zu lassen. 

 

Soweit, so gut, nun habe ich aber das Problem, dass ich den Feed nicht mittels GPO bei den Clients eingetragen bekomme, ein SSO ist eigentlich eingerichtet, wenn ich "https://contoso.com/rdweb/" im Chrome oder Internet Explorer aufrufe, habe ich ohne nochmalige Anmeldung Zugriff auf die RemoteApps und kann sie starten. Wenn ich jetzt aber z.B. die Feed URL "https://contoso.com/rdweb/feed/webfeed.aspx" unter "RemoteApp- und Desktopverbindungen" händisch eintrage, erscheint die Login Maske mit der Info, dass der Benutzername/Kennwort falsch sei, dann trage ich nochmal die Anmeldedaten ein und er richtet die Verbindung ein.

 

U.a. hatte ich mich durch folgende Anleitungen durchgearbeitet:

https://nedimmehic.org/2017/11/20/remote-desktop-services-2016-standard-deployment-part-4-rd-web-access-part4-sso-high-availability/

https://www.concurrency.com/blog/w/how-to-deliver-remoteapps-from-windows-server-2012

 

Hat einen Vorschlag wo das Problem liegen könnte?

Vielen Dank.

 

Andreas

bearbeitet von Attack44
Link zu diesem Kommentar

Die User müssen natürlich auch beim Connection Broker als erlaubte User/Gruppe eingetragen sein. Hast Du die Terminalserver und Connection Broker per GPO freigegeben? Delegierung von Standardanmeldeinformationen zulassen heißt die Einstellung. In welcher Einstellung hast Du den Feed eingetragen? Probiere auch mal eine andere W10 Version aus, mit der 1703 ging es nur als Admin, bei der 1803 funktioniert es auch als User.

Link zu diesem Kommentar

Meinst Du mit der erlaubten Gruppe/User unter Systemeingenschaften -> Remote -> Remotedesktop? Im Sitzungshost habe ich die entsprechenden Gruppen hinterlegt, beim Connection Broker nicht bzw. mal getestet und dann wieder rausgenommen. Die "Delegierung von Standardanmeldeinformationen" habe ich aktuell zum Test so eingestellt (siehe Bild), ich hatte zuvor auch die anderen Einstellungen aktiviert/zugefallen die dort zur Verfügung standen, leider ohne Erfolg.

 

Den Feed habe ich unter "Benutzerkonfiguration/Windows-Komponenten/Remotedesktopdienste/RemoteApp- und Desktopverbindungen" hinterlegt. Ich habe hier aktuell nur W10 1809 zur Verfügung, wo es später auch funktionieren soll. In der Ereignisanzeige ist auch folgender Fehler abgelegt (siehe Foto), aber wie gesagt, kopiere ich mir die URL z.B. aus der Ereignisanzeige und trage sie unter "RemoteApp- und Desktopverbindungen" ein, erhalte ich darauf ein eine Anmeldemaske mit der Info das der/das Benutzername/Passwort falsch ist, gebe ich drauf meine Logindaten ein, wird alles erfolgreich eingerichtet.

gpo_1.PNG

fehler_1004.PNG

bearbeitet von Attack44
Link zu diesem Kommentar

Such auf dieser Seite nach Standardverbindungs URL: https://www.windowspro.de/wolfgang-sommergut/remoteapp-von-windows-server-2012-r2-auf-windows-78x-verteilen

Dort die URL des Connection Brokers eintragen. Das ist eine User-GPO! Und ja, natürlich müssen die User beim Connection Broker eingetragen sein, wie sollen sie sonst irgendwas dürfen? Du brauchst mind. 1 Sammlung mit mind. 1 Programm, auf diese Sammlung müssen die User Zugriff haben. Eigenschaften der Sammlung > Benutzergruppen. Trag zum Test den User direkt ein.

 

https://www.windowspro.de/wolfgang-sommergut/sammlungen-collections-fuer-terminal-server-2012-einrichten-konfigurieren

https://www.windowspro.de/wolfgang-sommergut/remoteapp-veroeffentlichen-unter-windows-server-2012-r2

Link zu diesem Kommentar

Die Standardverbindungs URL ist wie schon oben geschrieben in der Benutzerkonfiguration hinterlegt und zeigt auf den Server wo Web Access Rolle installiert ist, der Connection Broker hostet ja den Feed nicht, zumindest ist das jetzt meine Auffassung. Ach so, Du meinst die Sammlung, ja dort sind die entsprechenden User hinterlegt/berechtigt und Apps gibt es auch schon. Ich kann sie ja aus dem Browser per SSO starten und verwenden.

Link zu diesem Kommentar

Welche Sicherheitseinstellungen hast Du in der Sammlung konfiguriert?

 

image.png.90fc5c0555f2bb073f60b99baaccc48b.png

 

Ist der Testuser Admin? Falls nein, probiere es mit einem Admin. Wie ich schon schrub, in der 1703 gab es einen Bug, dort konnte die URL als User nicht automatisiert hinzugefügt werden, nur als Admin. Falls das in der 1809 auch so ist, musst Du eine andere W10 Version verwenden. Alternativ ein W8.1 zum Test.

Link zu diesem Kommentar

vorhergehende

vor 13 Minuten schrieb Sunny61:

Ja habe ich, mit allem was man denke ich so macht, auch mit diesen SHA1-Zertifikatfingerabdrücken. Zuvor wo das Zertifikat noch nicht vorhanden war, konnte ich die Einrichtung unter RemoteApp- und Desktopverbindungen auch nicht abschließen, jetzt geht es ja, nur halt händisch.

 

P.S. Auch wenn ich z.B. in der Anmeldemaske beim Anlegen des Feeds auf Anmeldedaten speichern klicke und es danach nochmal hinzufüge (nach vorhergenden entfernen), kommt als erstes die Meldung, dass die Anmeldedaten falsch sein (obwohl nun was unter Systemsteuerung -> Anmeldeinformationsverwaltung hinterlegt wurde).

bearbeitet von Attack44
Link zu diesem Kommentar

Dann ist was anderes faul. Irgendwelche Hinweise im Log? Ist das ein nacktes blankes W10? Keine weiteren Programme installiert? Nichts im Autostart? Das letzte CU ist installiert? Leg doch mal eine neue OU an, deaktiviere die Vererbung von oben. Verschieb den Client und den User in die OU, verlinke die nötigen GPOs auf die OU, starte zweimal neu und melde dich mit dem Nichtadmin User an. Was passiert?

Link zu diesem Kommentar

Ich hatte zum Test ein nacktes W10 1803 verwendet, der Client und der User waren in einer OU ohne Vererbung, genau das gleiche Spiel wie bei den anderen Clients/Versuchen. Es erscheint die Anmeldemaske mit der Info das die Anmeldedaten falsch sein. Es erscheint mir so, dass wenn ich auf die URL über "RemoteApp- und Desktopverbindungen" zugreife, er die Anmeldedaten nicht weitergibt. Ich habe mal versucht, den Netzwerkverkehr zwischen Client und Server mitzuschneiden, wenn ich die URL/Feed über den Browser aufrufe, kommt folgende Meldung:

 

401 - Nicht autorisiert: Zugriff aufgrund ungültiger Anmeldeinformationen verweigert.
Die angegebenen Anmeldeinformationen berechtigen Sie nicht, dieses Verzeichnis oder diese Seite anzuzeigen.

 

Und ddarauf folgt die Meldung dass ein Login erfolgt ist (über den Brwoser), gehe ich nun über "RemoteApp- und Desktopverbindungen" erscheint die obrige Fehlermeldung auch, aber es passiert nichts weiter (Anmeldemaske ist ja nun auf).

Link zu diesem Kommentar

So, das Problem ist jetzt nun "halb" gelöst, ich habe in der IIS Konfiguration noch etwas angepasst bzw. etwas aktiviert (siehe Anhang), nun kann ich unter "RemoteApp- und Desktopverbindungen" den Feed ohne Fehlermeldung/Passworteingabe hinzufügen. Aber aktuell habe ich noch das Problem, dass ich den Feed über die GPO nicht eingetragen bekomme, es wird folgender Fehler im Ereignisreicher abgelegt (siehe Anhang).

iis_konfig.PNG

0x80072EFC.PNG

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...