Jump to content

Azure VDI - Verbindungsproblem


MaikHSW
Direkt zur Lösung Gelöst von Gerber,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Guten Morgen zusammen,

wir machen die ersten Schritte auf Azure VDI.

Hierzu haben wir einen Hostpool mit einem System (Windows + O365) gebucht und in AAD eingebucht (sehen wir dort auch).

Die Anwendungsgruppe haben wir erstellt und verknüpft, hierauf haben wir zwei AAD-Accounts als Desktopvirtualisierungsbenutzer berechtigt.

Abschließend noch einen Arbeitsbereich und fertig war es.

 

Nun haben wir sowohl über Webzugriff als auch über die App das Problem, dass wir den freigegebenen Desktop zwar sehen, er scheinbar aber Probleme beim Login hat und daher die Credentials immer wieder anfordert.

 

Wo ist unser Fehler, wo müssen wir dort etwas tun? RDP ist an dem Host öffentlich aktiviert, daran sollte es nicht scheitern.

 

Habt vielen Dank.

 

 

Gruß

 

 

Link zu diesem Kommentar
vor 46 Minuten schrieb Gerber:

Moin,

wird AAD genutzt oder Azure Active Directory Domain Services?

Was heißt die Credentials werden immer wieder angefordert?
Der Desktop wird nicht dargestellt oder ihr müsst diese einfach doppelt eingeben?

 

 

Moin, 

AAD wird genutzt.

Der Desktop wird auch nach 3x eingeben und MF nicht dargestellt....

Ideen?

 

 

Gruß

 

 

Maik

Link zu diesem Kommentar
  • Beste Lösung

Nein tatsächlich reicht das Recht auf die Anwendungsgruppe aus.

Wie genau spiegelt sich denn der Fehler wieder?
Kommt die Anmeldung und es wird versucht sich anzumelden oder was passiert?

Ich bin mir nicht sicher ob noch eine RBAC Rolle in dem Fall (wenn du Azure Active Directory in der AVD Umgebung zum joinen nutzt) auf den Session Host direkt vergeben werden muss, damit sich die User an den VMs anmelden können.
Dies ist z.B. notwendig, wenn du normale VMs in Azure Active Directory integrierst und sich Azure AD Benutzer auf diesen anmelden wollen. Hierzu wird definitiv noch eine RBAC Rolle benötigt...

 

- Du nutzt denke ich kein FSLOGIX für die Profile?

 

 

EDIT:

Du musst die RBAC ROlle wie gedacht zuweisen, damit sich die Benutzer bei Azure Active Directory AVD Umgebungen an den Session Hosts anmelden können:

 

Zitat
  • Weisen Sie Ihren Benutzern die Benutzeranmelderolle der virtuellen Maschine zu, damit sie sich bei den VMs anmelden können.

 

 

bearbeitet von Gerber
Link zu diesem Kommentar

Denke ich doch auch, dass die Rolle bei dir fehlt.

Naja einfach auf die Ressource (VMs) die von mir erwähnte RBAC Rolle zuweisen.

Wichtig!!!

Die Rolle sollte im Idealfall auf die RessourcenGruppe der VM gesetzt werden ,damit alle verbunden Ressourcen mit inbegriffen sind.
NICs, public ip, load balancer etc ...

bearbeitet von Gerber
Link zu diesem Kommentar
Am 6.2.2023 um 13:35 schrieb Gerber:

Denke ich doch auch, dass die Rolle bei dir fehlt.

Naja einfach auf die Ressource (VMs) die von mir erwähnte RBAC Rolle zuweisen.

Wichtig!!!

Die Rolle sollte im Idealfall auf die RessourcenGruppe der VM gesetzt werden ,damit alle verbunden Ressourcen mit inbegriffen sind.
NICs, public ip, load balancer etc ...

 

Hey, 

klang zu einfach....

Die Hostgruppe hat die RBAC-Rollen nicht. Dies scheint für Azure VMs, nicht jedoch für VDI Umgebungen zu gelten (Rolle nicht auswählbar).

Daher kann ich weder auf dem System, noch auf dem Hostpool das Recht vergeben.

Any further ideas?

 

 

Gruß

Link zu diesem Kommentar
vor 2 Stunden schrieb Gerber:

Hey,

naja die Rolle muss auch auf die VM und nicht auf den Hostpool 😅😅
Deswegen nochmal die Frage:

Hast du die Rollen direkt auf die VMs zugewiesen, welche in dem Hostpool vorhanden sind?

 

Hey,

ja nee, in dem Hostpool habe ich genau eine VM und auf dieser kann ich keine Rollen zuweisen bzw. verändern.

Die Punkte gibt es im Menü schlicht nicht, auch kein IAM oder anderes.

Daher kann ich dieses Recht dort nicht vergeben. Ist es eine Eigenheit einer VM und Azure VDI ist vielleicht an der Stelle anders?

Es ist ja auch keine "echte" VM, sondern es wird als "Sitzungshost" benannt, was vermutlich bereits den Unterschied ausmacht.

 

 

Gruß

bearbeitet von MaikHSW
Link zu diesem Kommentar

Hey @Gerber

du hattest Recht, ich bin nur wunderbar falsch abgebogen.

In der VDI Konsole findest du keine RBAC Rollenzuweisung, das ist ein totes Pferd.

Gehst du hingegen auf die virtuelle Maschine selbst (ja, die wird doppelt angezeigt scheinbar!) geht dein Weg genau so und ist die Lösung.

Was mich persönlich daran nervt:

- Warum geht das nicht über die VDI Übersicht?

- Warum ist VDI nicht so intelligent und setzt das Recht mit?

- Wenn VMs aus der VDI Übersicht gelöscht werden ist anzunehmen, dass die VM weg ist. Falsch, denn sie läuft kostenintensiv weiter unter VMs (Seiteneffekt, den ich ebenfalls gefunden habe)

Also aus UX Sicht noch zu  optimieren plus die Doku habe ich bei MS im Bereich VDI nicht gefunden. 

Daher: vielen lieben Dank!

 

 

Gruß

 

 

Maik

Link zu diesem Kommentar

Kein Problem.

Naja, es gibt immer Vor und Nachteile und jeder sieht das etwas anders.
Die Azure Virtual Desktop Umgebung wird ständig weiterentwickelt, so dass bestimmte Änderungen mit Sicherheit kommen.


 

Zitat

- Warum geht das nicht über die VDI Übersicht?

Hier musst du Microsoft Fragen :D

 

Zitat

- Warum ist VDI nicht so intelligent und setzt das Recht mit?

Die Azure Authentifizierung gab/gibt es noch nicht so lange als Möglichkeit die Session Hosts einzubinden.
Eventuell wird dies noch nachgezogen.


Dasselbe Spiel ist aber auch wie erwähnt wenn man außerhalb von AVD die Authentifizierung per Azure AD auf eine VM angibt. Auch dort wird dies nicht automatisch gesetzt.

Vermutlich ist dies so gewollt.

 

Zitat

- Wenn VMs aus der VDI Übersicht gelöscht werden ist anzunehmen, dass die VM weg ist. Falsch, denn sie läuft kostenintensiv weiter unter VMs (Seiteneffekt, den ich ebenfalls gefunden habe)

 

Naja, du bist ja in der AVD Umgebung und löscht somit den SessionHost inklusive Token/Registrierung aus dem Pool.
Auch onPremise wenn du einen Terminalserver Cluster hast und einen Terminalserver entfernst, wird dieser nicht deinstalliert :D.

 

Zitat

 die Doku habe ich bei MS im Bereich VDI nicht gefunden. 


Das was ich dir geschrieben hatte ist in der Doku von MS vorhanden.
Ich wusste zwar, dass eine Rolle benötigt wird (außerhalb von VDI mit AAD) was mich vllt ein wenig näher an die Info gebracht hat.
Allerdings ist es beschrieben.

 

######

 

Ich denke einfach, dass du zu wenig im Bereich Azure unterwegs bist und dich diese Dinge deswegen stören.

Als Azure Consultant bin ich täglich nur in Azure unterwegs und ja es gibt gewisse Dinge wo man sich denkt, waaaaarum aber auch das Gegenteil.

Azure tickt einfach anders als OnPremise, was man mit er Zeit mitbekommt.

###

 

Zitat

Daher: vielen lieben Dank!


Kein Problem.
Bei Fragen gerne melden.

 

Grüße

Phil

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...