Jump to content

CoNtAcT2000

Newbie
  • Content Count

    87
  • Joined

  • Last visited

Community Reputation

15 Popular

About CoNtAcT2000

  • Rank
    Newbie

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Ich hab es zwischenzeitlich zum Glück gelöst. Der Zauber ist halt in der Powershell CIM zu benutzen statt WMI. Vorher hat der Konfigurationsvorgang insgesamt ca 8 Minuten für einen Eintrag auf den beiden Server gedauert - jetzt sind es noch 30-40 Sekunden je nachdem wie schnell man die beiden nötigen Variablen von Hand eintippt. $RdsGwRap = Get-CimInstance -Namespace "root/CIMV2/TerminalServices" -ClassName "Win32_TSGatewayResourceAuthorizationPolicy" -ComputerName $Server $RdsGwRap = Invoke-CimMethod -Namespace "root/CIMV2/TerminalServices" -ClassName "Win32_TSGatewayResourceAuthorizationPolicy" -ComputerName $Server -MethodName Create -Arguments @{Name = "$ComputerName"; Description = ""; Enabled = $true; ResourceGroupType = "CG"; ResourceGroupName = "DOMAIN\"+"$ComputerGroup"; UserGroupNames = "DOMAIN\"+"$UserGroup"; ProtocolNames = "RDP"; PortNumbers = "3389"}
  2. Hallo Leute, wir haben hier eine hochverfügbare RDS Farm mit Server 2016. Im Remotedesktop Gateway werden ja die Ressourcenautorisierungsrichtlinien (RD-RAP) konfiguriert. Nun haben wir dort bereits ca 1000 Einträge drin (Die Leute schalten sich im Homeoffice auf Ihren PC auf, daher haben wir auf dem Gateway eine 1:1 Beziehung und so viele Einträge). Ich finde, das sind nicht wirklich viele Einträge für so ein System. Nun habe ich mir kleine Powershell Skripts geschrieben, welche eine neue RD-RAP anlegen bzw. löschen um das ganze nicht immer elendig von Hand klicken zu müssen. Funktioniert auch alles. Allerdings ist das ganze Handling mittlerweile grottenlahm! (Am Anfang war es deutlich zackiger!) Alleine das löschen einer RD-RAP dauert > 3 Minuten auf einem Server - und da wir 2 Gatewayserver haben, dauert alleine dieser kleine Vorgang > 6 Minuten! Ist alles kein Beinbruch, aber es nervt gewaltig, vorallem bei mehreren Änderungen. Import-Module RemoteDesktopServices Remove-Item -path "RDS:\GatewayServer\RAP\$Computername" -Confirm:$False -Recursive Beim ausführen des Kommandos rödelt der WMI Provider Host mit ca 18% auf der Kiste. Man sieht im Eventlog unter WMI-Activity auch dass da was gemacht wird. (Event ID 5857) Nur warum der "Mist" so dermaßen lang dauert, erschließt sich mir nicht. Kann doch net sein, dass das Ding bei den wenigen Einträgen schon dicke Backen macht? Jemand ne Idee/Lösung woran ich schrauben kann? LG CoNtAcT2000
  3. Wir haben hier auch ne 2016er Farm am laufen. Und da gab es mit den Druckern am Anfang auch Probleme. Grundsätzlich haben bei mir die Terminalserver bei mir immer Ihrer eigenen GPO´s => Loopbackverarbeitungsmodus auf "Ersetzen" Ich weise die Drucker per GPP den Benutzern auf dem TS zu und bei jeden Abmeldevorgang werden alle Drucker mit nem Skript gelöscht. Das funktioniert bisher immer sauber und zuverlässig. @echo off reg delete "hkcu\printers\connections" /f
  4. Für die Nutzer die bei uns Home Office machen, haben wir die zwanghafte Passwortänderung derzeit außer Kraft gesetzt. Wollten da nicht noch unnötig in Probleme stolpern, hatten aktuell genug mit anderen Dingen zu tun.
  5. Du berechtigst Gruppe 1 auf Sammlung A und Sammlung B. Selbst wenn Sammlung A die gleichen Anwendungen zur Verfügung stellt wie Sammlung B, ist und bleibt es dennoch ein Unterschied. Wenn ich eine Anwendung von Sammlung A starte, lande ich auf Servern die Sammlung A angehören. Wenn ich eine Anwendung von Sammlung B starte, lande ich auf Servern die Sammlung B angehören. Falls wir da aneinander vorbei reden, musst du mal genauer und ausführlicher formulieren, was du tust.
  6. Hast du denn auch entsprechenden Regeln auf dem Gateway erstellt, die dem User den Zugriff auf Client 1 und Client 2 erlauben? Die Meldung sagt eigentlich aus, dass für den User kein Zugriff auf die entsprechende Ressource eingerichtet ist.
  7. Ich halte das Thema für ne zweischneidige Sache. Arbeite im ÖD und wenn wir es den DAU´s überlassen würden, wann sie mal das Passwort wechseln weil sie einen Verdacht haben, dass es kompromitiert sein könnte - dann wäre das Passwort bis zur Rente/Pension identisch. (Die meisten müssten wohl erst nachschlagen, was überhaupt mit kompromittiert gemeint ist). Evtl. schnappt das Passwort mal ein Arbeitskollege auf und der Benutzer merkt es nicht. In der Regel würde das von den Endanwendern bei uns kein Schwein merken, wenn sein PW weg ist, da gehe ich jede Wette ein. Oder aber der User nutzt zum Beispiel Remotezugänge/Anwendungen vom Privatgerät aus. Wer weiß wo der überall die selben Zugangsdaten verwendet...da kann es schon hilfreich sein, wenn das Passwort nach Zeitraum x gewechselt werden muss. Das mag in Unternehmen mit fitten Leuten ja klappen es nicht zu wechseln und komplexer zu gestalten, aber im ÖD Leute mit technischem Verständnis zu finden und für diese Änderungen den nötigen Rückhalt in der Verwaltung zu bekommen - der Horror! Bei den jungen Leuten gehts ja (oft, aber nicht immer), aber der Altersdurchschnitt ist halt leider recht hoch.
  8. Hallo Leute, Wir betreiben eine hochverfügbare RDS2016 Umgebung und nutzen darüber auch die Funktion "Verbindung mit einem Remote-PC herstellen", damit die User sich auf Ihren Arbeitsplatz Computer verbinden können, um im "HomeOffice" zu arbeiten. Meines Wissens nach, ist die Registerkarte/Funktion allderdings nur verfügbar, wenn man die Seite mit dem Internet Explorer öffnet, da ein ActiveX Addin geladen werden muss. (Microsoft Remote Desktop Services Web Access Control (MsRdpClientShell). Weder mit Chrome, Firefox oder dem alten Edge funktioniert das. Mit dem neuen Edge wohl auch nicht, da ja Chromium basiert. Gibt es evtl. mittlerweile eine Möglichkeit das auch mit nem anderen Browser hinzubekommen? Vielen Dank. Gruß CoNtAcT2000
  9. Hallo Leute, ich habe folgendes Problem mit dem ich nicht mehr weiter komme. Evtl. kann mir ja jemand von euch den richtigen Schubs geben. Ich habe vor einiger Zeit eine hochverfügbare RDS 2016 Umgebung aufgebaut. Funktioniert soweit auch alles. Wenn man das Webportal mit dem IE aufruft, bringt der IE die Meldung "Die Seite kann nicht angezeigt werden". Das Problem betrifft einige, aber nicht alle, Windows 7 und 8 Maschinen. Das Verhalten zeigen sowohl Firmencomputer - als auch private Computer, die fürs Homeoffice genutzt werden und nicht von uns installiert/konfiguriert wurden. Nimmt man hingegen einen anderen Browser Chrome oder Firefox - kann die Seite ganze normal geladen werden - allerdings funktioniert dort das ActiveX Plugin "Verbindung mit einem Remote Computer" nicht - was wir allerdings benutzen. Hab den IE schon zurückgesetzt, Kompatibilitätseinstellungen für die Seite versucht, mit Patches und Registry Einträgen hantiert wegen TLS 1.2..... Ich bekomme es auf diesen Systemen neinfach icht hin, dass die Seite angezeigt wird und weiß nicht warum und was ich noch tun kann. Vorab vielen Dank. Viele Grüße CoNtAct2000
  10. ooookkkaaaaaaayyyyy. Danke euch bieden für den Schubs in diese Richtung, das schaue ich mir dann mal an. Mit dem Netscaler bräuchte ich mehr Hinweise wie man so was konfiguriert, da fehlt mir das KnowHow im Detail. Allerdings hat man mit der Client IP ja nur ne Lösung, um ggf. die Clients auszusperren, damit habe ich noch nicht erreicht, dass die Clients das Webportal nur über das Kundennetz aufrufen. Auf den Clients bzw. der Infrastruktur überall das Webportal+Farmnamen umzubiegen ist nicht gerade die schönste Lösung. Aber die Daten dürfen nunmal nicht übers Internet laufen, auch wenns https verschlüsselt ist. Ideal wäre halt ein zweites Webinterface mit anderer Adresse, welches dann nur von intern/Kundennetz erreichbar ist. Aber gibt wohl nur die Möglichkeit eine Web-Access-Adresse je Farm zu betreiben? Im Detail kann ich es dir nicht 100% sagen, da das nicht meine Kernbaustelle ist. Jedenfalls haben wir MS Enterprise Agreement, die TS-Farm läuft virtuell auf nem HyperV Cluster, auf dem dann (glaube ich) die CPU Cores lizensiert werden müssen. Wie gesagt nicht festnageln, ist nicht mein Steckenpferd. Alle "Kunden" sind BMI bezugsberechtigt und dürfen die Lizenzen nutzen. Und dann haben wir halt noch TS-User-Call´s. Soweit meine Infos zu dem Lizenzthema.
  11. Danke für eure Ideen. - Icon ausblenden ist mir für die Anwendung nicht sicher genug, bzw. bietet ja so gesehen keine wirkliche Sicherheit/Gewissheit - Script welches die Client IP prüft klingt interessant. Allerdings kann ich mir grad aus dem Stehgreif gedanklich nicht vorstellen, wie ich auf dem Session Host an die Client IP komme? Kannst du mir hier vielleicht weiter auf die Sprünge helfen wie du das skripten würdest? - Umstieg/Erweiterung auf Citrix geht überhaupt nicht! Erstens hohe, zusätzliche Kosten und zweitens haben wir vor ca 5 Jahren ein absolutes Desaster mit der Firma Citrix erlebt. Support Total mies, versprechen Dinge, die Ihre Produkte einfach nicht können - geben es aber auch nicht zu. Wir haben damals verdammt viel Geld und Manpower in das Projekt versenkt um nachher mit nichts da zu stehen und alles einzustampfen! Trotz Telefon/Video Support über den ganzen Globus! Eine Lachnummer, was sich Citrix da erlaubt hat! Dann die ganzen Abhängigkeiten, Registry Tweaks bei Version XY und Konstellation xy. Die schaffen es ja nicht einmal eine neue Citrix Receiver Version rauszubringen, wo man davon ausgehen kann, dass sie ohne zu knurren bzw. totalversagen funktioniert! Intern hatten wir jetzt noch die Idee das "Kundennetz" auf die interne Loadbalancer IP des Netscalers umzubiegen. Dann müssten man im Kundennetz aber dafür sorgen, dass das RD-Webinterface nicht mehr über das Internet aufgerufen wird, sondern der Aufruf über das Kundennetz geroutet wird. Dann brauche ich den Usern keine Berechtigungen für das RD-Gateway zu geben und sie könnten dann vom Internet aus die Anwendung nicht starten.
  12. Hallo MurdoX, danke für deinen Beitrag. Darum geht es allerdings nicht. Mir ist durchaus klar, dass der User auf dem SessionHost noch weitere Programme starten kann. Aus allen Netzen kommt man aufs Webinterface und sieht seine verfügbaren Anwendungen (A,B,C). Diese sind ja dem User zugeordnet. Anwendung C darf NICHT starten, wenn man dies über das Internet versucht. Die Anwendung darf NUR aus dem Kunden oder internen-Netz gestartet werden können. Das ist der Punkt worum es sich dreht.
  13. Hallo Leute, hätte da mal eine sehr spezielle Frage bzgl. dem Bereitstellen einer Anwendung. Genauer gesagt einer möglichen Zugriffsbeschränkung. Folgende Situation: Wir betreiben eine RDS Farm 2016 bestehend aus. 2x Citrix Netscaler MPX 5550 (Loadbalancer) 2x RD-Gateway 2x RD-Web Access 2x RD-Connection Broker (+SQL DB) 1x RD Lizenzserver Alle Server stehen innerhalb der Domäne. Das Webinterface ist sowohl aus dem internen Netz, als auch über das Internet zu erreichen. Wird ein User für eine Anwendung freigeschaltet, sieht er diese im Webinterface und kann diese starten. Sofern er auch Mitglied einer separaten Gruppe ist, darf er die Anwendung auch über das Internet und somit über das RD-Gateway starten. Nun haben wir zu unserem internen Netz noch ein weiteres, sagen wir mal „Kundennetz“ Wir möchten auf der Farm nun eine Anwendung bereitstellen, die NUR erreichbar/startbar ist aus diesem „Kundennetz“, NICHT über das Internet. Wie kann man das erreichen? (Mit der RDS Umgebung inkl. AD kenne ich mich gut aus, alles was den Netscaler betrifft bin ich allerdings nicht so gut informiert!). Ich hoffe ich konnte alles möglichst verständlich beschreiben. Im Voraus vielen Dank!
  14. Ich als IT´ler komme damit schon klar. Ich denke da an die normalen User - vorallem für mobile User und Heimarbeitsplätze - auch Rechner die nicht in der Domäne hängen sollen ne sinnvolle Verbindung aufbauen können. Unsere Idee ist es halt den Benutzern einen Shared Desktop auf einem Server anzubieten - und alle remoteapp´s ins Startmenü zu integrieren. Selbes Szenario haben wir mal mit Citrix aufgebaut - das hat mit den Remoteapps im Startmenü funktioniert (über den Citrix Receiver halt) - Citrix ist aber wegen diverser Produkt- und Support-Peinlichkeiten bei uns hochkant rausgeflogen. Nun probiere ich das ganze halt auf reinem MS-Terminalserver ohne den Citrix Kram. Ich stelle mir halt zum einen die Frage a) ist das, was ich vorhabe, by Design von MS so nicht gewünscht, dass es nicht funktioniert? - Ich kann dazu im Netz kaum was finden, außer Posts von Leuten bei denen es ebenfalls nicht geht. BSP.: Technet https://social.technet.microsoft.com/Forums/lync/en-US/87b73976-7aad-49ef-87dd-a24271f43352/webfeed-configuration-on-a-windows-2012-session-host?forum=winserverTS oder da: https://rcmtech.wordpress.com/2013/10/07/remoteapp-default-connection-url-group-policy-not-working/ b )wozu soll ich denn dann überhaupt einen Desktop bereitstellen, wenn genau diese Funktion nicht geht? Ich sehe da den Nutzen eines Desktops nicht mehr. PS: gehe ich hin und entferne die Rolle RemoteDesktop Session Host, starte die Maschine neu, melde mich mit nem 0815 User an kann ich sofort über "RemoteApp- und Desktopverbindungen" den Webfeed einrichten und verbinden!
  15. Hallo, ich weiß, dass dieser Post bereits älter ist, stehe aber im moment an der selben Stelle und frage mich, ob es machbar ist auf einem 2012R2 SessionHost per Remote- und Desktopverbindungen die restlichen Remoteanwendungen ins Startmenü zu schießen. Bisher habe ich das weder per Konfiguration über GPO noch manuell hinbekommen. Probiere ich es auf einem Server 2012 R2 der keine RemoteDesktopDienste installiert hat, funktioniert es hingegen direkt!
×
×
  • Create New...