kaineanung 14 Geschrieben 20. März 2020 Melden Teilen Geschrieben 20. März 2020 Hallo Leute, u.a. auch dank euch steht meine neue RDS-Farm mitsamt ConnectionBroker, RDWebAccess, RD-Lizenzierungsserver, User Disk Profile (File-) Server und 2 RD SessionHosts. Es funktioniert auch gut und die User können sich nun anmelden und arbeiten. Im RD-Lizenzierungsserver habei ch auch eine schöne Übersicht wer wann welche CALS zugeweisen bekommen hat, wie lange diese gültig sind und der Gleichen. Anfänglich habe ich ein Problem mit nicht zugewiesenen RDS-Cals / Lizenzen gehabt aber dank einer Recherche in Google habe ich auf der AD dem Terminalservice berechtigung erteilt daß dieser die vorgesehenen Attribute setzen darf (auf die User-OU) und ab da ging das alles wunderbar bei fast jedem. Das ist die Anleitung die ich ausgeführt habe damit der Lizenzierungsserver Berechtigung auf der AD bekommt: Link zur Fehlerbehebung EventID 4105 Es hat jedenfalls bei fast allen geklappt, aber komischerweise nur bei fast allen und ich kann es mir nicht erklären wie das sein kann? Ich habe 2 User (von ca. 60 RDS-Usern) die keine CAL zugewiesen bekommen und in der Eriegnisanzeige des RDS-Servers (da wo CB, WA und der Lzenzierungsserver laufen) ist wieder die Meldung mit der o.g. EventID 4105 (folgt dem Link und die MS-Warnung die ganz oben gepostet wurde ist original wie die bei mir). So, Frage aller Fragen: Wie zum Teufel kann das sein? Ich erteile dem RD-Lizenzierungsserver auf die ganzen User-OU die entsprechende Berechtigung, und 2 Userobjekte, die sich wie alle anderen auch in dieser OU befinden und sonst auch nicht anders sind, werden auch weiterhin ignoriert / anders gehandhabt / fallen durch das Raster? Was kann ich noch tun? Die User merken von Ihrem Unglück erstmal nichts. Sie werden nicht benachrichtigt das in 120 Tagen keine RDS-Verbindung mehr aufgebaut werden kann oder der Gleichen. Aber genau das befürchte ich denn eine Lizenz wird denen nicht zugeordnet und in der Ereignisanzeige auch dementsprechend protokolliert. Jemand eine Idee für mich? Danke schon einmal im Voraus für eure Hilfe! Zitieren Link zu diesem Kommentar
kaineanung 14 Geschrieben 23. März 2020 Autor Melden Teilen Geschrieben 23. März 2020 Hier die Fehlermeldung (vielleicht fängt je jemand was damit an?): Der Remotedesktop-Lizenzserver kann die Lizenzattribute für Benutzer "XYZ" in der Active Directory-Domäne "Firma.local" nicht aktualisieren. Stellen Sie sicher, dass das Computerkonto für den Lizenzserver Mitglied der Gruppe "Terminalserver-Lizenzserver" in der Active Directory-Domäne "Firma.local" ist. Falls der Lizenzserver auf einem Domänencontroller installiert ist, muss das Netzwerkdienstkonto ebenfalls Mitglied der Gruppe "Terminalserver-Lizenzserver" sein. Fügen Sie in diesem Fall zunächst die entsprechenden Konten zur Gruppe "Terminalserver-Lizenzserver" hinzu, und starten Sie anschließend den Remotedesktop-Lizenzierungsdienst neu, um die Verwendung von benutzergebundenen Remotedesktopdienste-Clientzugriffslizenzen zu verfolgen bzw. Berichte darüber zu erstellen. Win32-Fehlercode: 0x80070005 Der Lizenzserver ist NICHT auf dem Domänencontroller installiert. Die Zugriffsrechte des RD-Lizenzierungsservers auf die OU 'User' in der Domäne habe ich, wie in der folgenden Anleitung beschrieben, erteilt: Remotedesktop-Lizenzserver meldet Warnung EventID 4105 (Fehlercode: 0x80070005) (Vor diesem Vorgang hat nur der Administrator Lizenzen zugewiesen bekommen. Danach jeder bis auf die o.g. Kandidaten) Diese sind wie alle anderne User in diversen Sicherheitsgruppen und in der einen einzigen OU 'User' (die User haben keine eigenen OUs bei uns). Hat jemand Rat? Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 23. März 2020 Melden Teilen Geschrieben 23. März 2020 vor 25 Minuten schrieb kaineanung: Stellen Sie sicher, dass das Computerkonto für den Lizenzserver Mitglied der Gruppe "Terminalserver-Lizenzserver" in der Active Directory-Domäne "Firma.local" ist. Ist das der Fall? Am 20.3.2020 um 17:23 schrieb kaineanung: Ich habe 2 User (von ca. 60 RDS-Usern) die keine CAL zugewiesen bekommen AdminSDHolder vermutlich. Sind oder waren die mal in einer geschützten Gruppe? Falls ja dann aktivier die Vererbung auf dem Konto wieder. Falls die da noch drin stecken, wird die sich aber immer wieder deaktivieren. Also Lösung dauerhafter Natur dann den Nutzer aus diesen Gruppen entfernen. Zitieren Link zu diesem Kommentar
kaineanung 14 Geschrieben 23. März 2020 Autor Melden Teilen Geschrieben 23. März 2020 vor 3 Minuten schrieb NorbertFe: vor 29 Minuten schrieb kaineanung: Stellen Sie sicher, dass das Computerkonto für den Lizenzserver Mitglied der Gruppe "Terminalserver-Lizenzserver" in der Active Directory-Domäne "Firma.local" ist. Ist das der Fall? Ja. Der srv-rds (also der Connection-Broker, RD WebAccess und RD-Lizenzierungsserver -> All-in-One) ist Mitglied von 'Terminalserver-Lizenzserver'. Sonst würde es bei allen anderne User wahrscheinlich auch nicht funktionieren. vor 5 Minuten schrieb NorbertFe: Am 20.3.2020 um 17:23 schrieb kaineanung: Ich habe 2 User (von ca. 60 RDS-Usern) die keine CAL zugewiesen bekommen AdminSDHolder vermutlich. Sind oder waren die mal in einer geschützten Gruppe? Falls ja dann aktivier die Vererbung auf dem Konto wieder. Falls die da noch drin stecken, wird die sich aber immer wieder deaktivieren. Also Lösung dauerhafter Natur dann den Nutzer aus diesen Gruppen entfernen. AdminSDHolder? Kenen ich so nicht. Aber diese User waren nie irgendwas anderes oder gar mehr als alle anderen User auch. Domänen-Benutzer + 4-5 Sicherheitsgruppenmitgliedschaften. Aber wer weiß ob sich irgendwie irgendwas derartiges hätte einschleichen können? Und ob die jemals in einer geschützen Gruppe waren? Keine Ahnung. Was ist eine geschütze Gruppe? Ich würde sagen nein. Aber wie kann ich das herausfinden? Sie haben 5-6 Gruppenmitgliedschaften. Ist vielleicht eine geschüctze dabei? Wo finde ich das heraus? Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 23. März 2020 Melden Teilen Geschrieben 23. März 2020 (bearbeitet) https://docs.microsoft.com/de-de/windows-server/identity/ad-ds/plan/security-best-practices/appendix-c--protected-accounts-and-groups-in-active-directory bearbeitet 24. März 2020 von NorbertFe Zitieren Link zu diesem Kommentar
kaineanung 14 Geschrieben 24. März 2020 Autor Melden Teilen Geschrieben 24. März 2020 Der User "Ger" (Bei mir vormals als XYZ bezeichnet) ist kein Mitglied der Geschützen Gruppen (damit sind die AD-System-Gruppen gemeint wie ich sie beschreiben würde). Der User ist auch kein AdminSDHolder (ich weiß zwar nicht wie ich das verifizieren könnte, aber laut dem Link habe ich herausgelesen das man in einer dieser Built-In-Gruppen / geschützer Gruppe sein muss. Dies ist nicht der Fall. Gibt es sonst noch mögliche Gründe warum dieser User (der Einzige aus mittlerweile über 60 RDS-User) keine CAL vom Lizenzierungsserver zugewiesen bekommt? Die Fehlermeldung "Stellen Sie sicher, dass das Computerkonto für den Lizenzserver Mitglied der Gruppe "Terminalserver-Lizenzserver" in der Active Directory-Domäne "Firma.local" ist." besagt ja daß eventuell das Computerkonto nicht Mitglied der Terminalserver-Lizenzserver"-Gruppe in der AD ist. Das mag am Anfang gestimmt haben. Aber dank dem Link, den ich weiter oben gepostet hatte, habe ich dem Lizenzierungsserver ja die Berechtigung gegeben und ab da konnte er die CALS ja verteilen / Den Usern in der AD zuweisen. ABER eben nur einem User nicht. An dieser Baustelle kann es ja dann nicht mehr liegen, richtig? An welcher könnte es aber dann noch liegen? Wo kann ich vielleichtn och nachschauen? Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 24. März 2020 Melden Teilen Geschrieben 24. März 2020 vor 39 Minuten schrieb kaineanung: Der User ist auch kein AdminSDHolder Genau. Denn der AdminSDHolder ist ein Prozess und kein User. Du sollst nur schauen, ob der User mit oder ohne aktivierter Vererbung konfiguriert ist. Zitieren Link zu diesem Kommentar
kaineanung 14 Geschrieben 24. März 2020 Autor Melden Teilen Geschrieben 24. März 2020 vor 1 Stunde schrieb NorbertFe: Genau. Denn der AdminSDHolder ist ein Prozess und kein User. Du sollst nur schauen, ob der User mit oder ohne aktivierter Vererbung konfiguriert ist. Oh, ok. Wollte ich dann jetzt mal machen und habe mir den ganzen Artikel bis zum Ende durchgelesen. Leider steht da nirgends wie ich das nachschauen kann. Oder, und das könnte wohl am ehesten sein, blicke ich es nicht und es steht doch da... ich sehe es aber leider nicht. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.