wicksupport

Nach dem Eintragen von folgendem Schlüssel:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Credssp]
"UseCachedCRLOnlyAndIgnoreRevocationUnkownErrors"=dword:00000001

ging der Aufruf der Seite wieder ohne Probleme.

Ich habe noch folgendes getestet:

Aufruf über https://realerservername.domäne1.de > Aufruf von RD Sitzung aus angelegter Sammlung geht ohne Probleme

Aufruf über https://rds.domäne2.de > Aufruf von RD Sitzung aus angelegter Domäne gibt die Meldung "Ihre Sitzung wurde beendet, da der Remotecomputer ein unerwartetes Serverauthentifizierungszertifikat übermittelt hat. Wenden Sie sich an Ihren Administrator oder an den technischen Support." 

In den Bereitstellungseigenschaften ist bei Remotedesktopgateway unter Servername "rds.domäne2.de" angegeben. Das Wildcardzertifikat ist ausgestellt auf *.domäne2.de 

Der Eintrag rds.domäne2.de wird über einen CNAME Eintrag im DNS gesetzt und wird auch korrekt aufgelöst. Die gleiche Konfiguration lief bis das alte *.domäne2.de Zertifikat abgelaufen ist.

Gibt es hier noch Lösungsansätze?

Ja, der Hashwert stimmt überein.

Hatte vergessen dazuzusagen, dass es ein wildcard-Zertifikat ist, das wir dafür nutzen. Es gibt kein spezielles Zertifikat für den RDS oder den Exchange extra.

vor 1 Minute schrieb chrismue:

Und hast du es unter Bindungen auch ausgetauscht?

 

Gruß

chrismue

Ja, bei der Default Web Site

Die gleiche .pfx Datei wurde importiert.

Umgebung: Windows Domäne mit RDS 2022 (kein Cluster - alle Rollen auf dem Server installiert). Der Server lief mit dem HTML5 Client ohne Probleme. Da die Zertifikate abgelaufen sind, haben wir die neuen Zertifikate hinterlegt. Dabei handelt es sich um eine .pfx Datei von unserem Exchange Server. Der Exchange Server hat die CSR Datei für die CA erstellt (offizielle CA mit Zwischenzertifikat, keine interne CA). Die .pfx Datei wurde sowohl in den Bereitstellungseigenschaften (alle 4 Rollendienste), als auch beim RDWebClientBrokerCert (Import-RDWebClientBrokerCert c:\temp\zertifikat.pfx -PromptforPassword) hinterlegt. Dennoch kommt die Meldung "Ihre Sitzung wurde beendet, da der Remotecomputer ein unerwartetes Serverauthentifizierungszertifikat übermittelt hat. Wenden Sie sich an Ihren Administrator oder an den technischen Support."

Wo können wir ansetzen, um den Fehler zu beheben?

Gruß

wicksupport

Domäne2 vertraut der Domäne1, ja.

Hallo zusammen,

wir sind auf der Suche nach folgender Lösung:

Intranetseite soll erstellt werden, bei der verschiedene Inhalte nur für bestimmte Windows Benutzer freigegeben oder angezeigt werden sollen.

Das CMS System für die Intranetseite ist noch nicht festgelegt, könnte z.B. Wordpress oder ähnlich sein.

Die Problematik: 

Die Windows Benutzer kommen aus 2 verschiedenen Windows Domänen (domäne1.local, domäne2.test).

Die Benutzer sollen sich per SSO anmelden können, also weder ihre Logindaten noch einmal eingeben müssen, noch eine separate Benutzerkennung für die Intranetlösung.

Gibt es hierfür eine gute Lösung?

Gruß

Karl

Genau so etwas haben wir gesucht. Danke.

Hallo zusammen!

Ziel:
Clients den Zugriff auf veröffentlichte RemoteApp-Programme und den RemoteDesktop über einen Browser ermöglichen.

Bisher:

RDS 2016 mit allen erforderlichen Rollen auf einem separaten Server installiert. Webclient eingerichtet, um Zugriff nur für HTML5 Clients über Reverse-Proxy zu ermöglichen.

Nach der Installation und der Erstellung der Sammlung wird bei Ressourcen: Remotedesktop angezeigt und der Zugriff funktioniert auch ohne Probleme. Sobald aber die erste App veröffentlicht wird, steht unter Ressourcen: RemoteApp-Programme und es ist kein Zugriff mehr auf den RemoteDesktop möglich (kein Icon für die Benutzer).

Können RemoteApps und Remotedesktop (Sitzung auf dem Server) nicht parallel erfolgen? Kann die Zielsetzung anderweitig mit nur einem Server realisiert werden?

Gruß

 

Hallo lefg,

die Berechtigungen stimmen - wie gesagt, einige Dateien werden ja auch kopiert, aber nicht alle. Auch die Kontingenteinträge wurden überprüft, um einen vollen Speicher des Benutzers auszuschließen.

Hallo zusammen!

Folgendes Problem: Windows Domäne mit Windows 2012 R2 Server und Gruppenrichtlinien (Clients hauptsächlich Windows 7). Ordnerumleitung für Dokumente, Bilder, Videos, AppData etc sind eingerichtet und funktionieren ohne Probleme (schon seit Jahren). Jetzt müssen aufgrund von Änderungen neue Ziele für die Umleitungen definiert werden. Dies wurde in den Gruppenrichtlinien hinterlegt (Option exklusiver Zugriff ist deaktiviert, Option Dateien verschieben ist aktiviert). Beim User steht im Ereignisprotokoll unter Ordnerumleitungen, dass alle erfolgreich durchgeührt wurden. Beim Prüfen der Anzahl der Dateien gibt es aber teilweise große Unterschiede. Auf dem "Server-alt" sind mehr Dateien vorhanden, als beim "Server-neu" und das ohne Fehlermeldung.

Es könnte teilweise eventuell an zu langen Dateinamen bzw. Ordnernamen liegen.

Wie kann es sein, dass dann keine Fehlermeldungen erzeugt werden? Die Dateien werden außerdem nicht verschoben, sondern kopiert, so dass sie auf "Server-alt" auch noch vorhanden sind. Wie ist am Besten damit umzugehen, um sicherzustellen, dass alle Benutzer wieder alle ihre Dateien haben, ohne händisch für jeden Benutzer Verzeichnisse zu synchronisieren?

Gruß

Karl

Der Fehler konnte lokalisiert werden. Da nach der Wartezeit alles funktioniert hat, musste der Fehler wo anders liegen. Ein externes NAS mit Benutzeranmeldung hat in einem Skript für einen Timeout gesorgt - das wurde geändert und jetzt geht die Anmeldung wieder schnell.

Gruß

Karl

Immer bei diesen Benutzern.

Nachtrag: Inzwischen ist es bei allen Benutzern - auch bei den neuen.

Hallo zusammen!

Folgende Umgebung:

Migration von Windows 2008 DC auf Windows 2012 DC (als Hyper V Host). Dabei wurden die Benutzerdateien und Benutzerprofile (servergespeichert) auf einen neuen DFS gelegt. 3 FSMO Rollen in der Domäne auf den neuen Server übertragen - die anderen beiden sind auf der übergeordneten Domäne. Der alte DC ist aus dem Domäne raus und offline. Die Rückstände sind auch aus den Standorten entfernt. netdiag /test:dns zeigt keine Fehler.

Folgende Problematik:

Die Anmeldung an einem Client mit einem migrierten (im AD vorhandenen) Benutzer dauert ca. 3 Minuten (es erscheint ein schwarzer Bildschirm, bevor der Desktop angezeigt wird). Danach wird der Desktop korrekt mit Hintergrund, Verknüpfungen etc angezeigt. Keine Fehler im Ereignis-Log. Wird ein Benutzer neu angelegt und hat dieser das gleiche Startskript, die gleichen Angaben bei dem Benutzerprofil und den Benutzerdaten geht die Anmeldung schnell. Auch das Löschen eines Profils eines migrierten Benutzers schafft keine Lösung.

Was kann die Ursache sein?

Vielen Dank

Karl

Ja, das ist bei beiden der Fall.

Hallo RobertWi

1. Ja, der TMG hat das Zertikat der CA hinterlegt und vertraut dieser.

2. Die IP Adressen des TMG sind manuell eingegeben - sowohl die interne als auch die externe. Hinter dem TMG kommt noch einmal eine Appliance, die für den Internetzugang zuständig ist.

Hallo zusammen!

Es soll eine Exchange 2010 OWA Seite über einen TMG 2010 veröffentlicht werden. Folgende Umgebung:

Hyper V Server: Windows 2012 Core

Host1: TMG 2010 auf Windows 2008 R2

Host2: Exchange 2010 SP3 auf Windows 2012

Die interne Seite von OWA lautet: mail.domäne.de (Exchange)

Die externe Seite lautet: owa.domäne.de (TMG)

Wobei beides im DNS Host A Einträge sind. Die Namensauflösung funktioniert korrekt. Der Aufruf vom TMG oder einem anderen Client aus auf https://mail.domäne.de/owa funktioniert. Wenn man dann versucht, die https://owa.domäne.de/owa aufzurufen, dann erscheint die Fehlermeldung: Seite kann nicht angezeigt werden. Beim TMG erscheint im Protokoll die Meldung: 0x80074e21 FWX_E_ABORTIVE_SHUTDOWN

Das Zertifikat wurde von einer eigenen CA ausgestellt, die auch auf dem Exchange läuft. Der Name lautet: owa.domäne.de – dieses Zertifikat wurde sowohl bei Exchange ausgewählt – auch den Diensten zugeordnet, als auch im IIS und im Listener auf dem TMG.

Bisher konnten wir keine Lösung für dieses Problem finden. Wie ist die beste Vorgehensweise?

Die CAS Rolle wurde auch schon neu installiert.

Danke und Grüße

Karl

Also der externe Proxy ist eine Appliance mit einem eingebauten Content-Filter. Dieser soll den Internetzugang benutzerabhängig freigeben. Eine AD Anbindung ist bereits realisiert. Die Appliance gilt quasi als externe Firewall. Der TMG soll eine interne Firewall sein, der auch den Zugriff aus dem internen Netz auf die Appliance steuert (muss nicht benutzerbezogen sein). Außerdem regelt der TMG den eingehenden Verkehr ins interne Netz und realisiert eine OWA Seite.

Das Problem ist, das der externe Proxy einen Contentfilter enthält, den wir nutzen müssen. Ist es dann eine Möglichkeit, dass der TMG einfach an den externen Proxy routet und selbst nicht als Proxy fungiert?

Hallo zusammen!

Folgende Situation:

Ein TMG 2010 soll als interne Firewall dienen und auf einen externen Proxy verweisen. Der externe Proxy muss die User authentifizieren können, da hier verschiedenen Regeln für die AD User gelten sollen, ohne das die Benutzer noch einmal ein Passwort eingeben müssen. Wie kann das realisiert werden?

Danke und liebe Grüße

Hallo zusammen!

Wir nutzen den logparser, um die Events des Sicherheitsprotokolls verschiedener Server in eine Access Datenbank zu speichern. Auf dem Server ist bei der Systemüberwachungsrichtlinie das Dateisystem mit aktiviert, damit Änderungen in Netzlaufwerken nachvollzogen werden können. Das Problem ist nun, dass jeden Tag beim Backup einige tausend Einträge von \Device\Harddiskvolumeshadowcopy... protokolliert werden. Wie muss die Syntax genau heißen, um diese Einträge erst gar nicht mit in die Datenbank zu übertragen? Bei dem Feld handelt es sich um: Objekt

"\\server\freigabe$\logparser" -i:evt -o:sql -server:"servername" -dsn:"Log-Infos" -createTable:on "SELECT timegenerated, EXTRACT_TOKEN(Strings,1,'|') AS Benutzer, EXTRACT_TOKEN(Strings,6,'|') AS Objekt, EXTRACT_TOKEN(Strings,8,'|') AS Zugriffstyp INTO Dateisystem FROM \\server\security WHERE EventCategory=12800" -q:on

Gruß

Karl

Für diejenigen, die ein ähnliches Problem haben:

Die Berechtigung wird korrekt gesetzt, aber der Benutzer hat damit keine Rechte neue Einträge in der Registry des betroffenen Servers vorzunehmen. Dies wird benötigt, wenn eine neue Kategorie angelegt wird. Lässt man also zunächst einen Logeintrag mit einem Adminbenutzer ausführen, wird die neue Kategorie angelegt und danach kann ein Benutzer, dem die Rechte gegeben wurden auf dem Server die Logs erstellen.

Nachtrag: Der Eintrag in der Registry ist bei Windows 2008 nicht mehr gültig. Die Berechtigung auf das erstellte Eventlog haben wir jetzt mit wevtutil vergeben. Man kann auch überprüfen, dass die SID erfolgreich eingetragen wurde. Dennoch kommt beim Versuch mit eventcreate einen Eintrag zu erzeugen die Meldung "Zugriff vrweigert".

Gruß

Karl

Hallo zusammen!

Wir haben ein eigenes Eventlog unter Windows 2008 angelegt und möchten jetzt einer bestimmten Benutzergruppe (die keine Adminrechte hat) auf dieses Log Schreibrechte geben. Dazu haben wir unter HKLM\System\CurrentControlSet\Services\Eventlog\test einen neuen Schlüssel angelegt "CustomSD". Darunter haben wir einen neuen Zeichenwert gesetzt "SDDLACL" mit dem Eintrag: O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x7;;;SO)(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)(A;;0x3;;;S-1-5-21-1299017427-xxxxxxx)

Der letzte Eintrag ist die SID der gewünschten Gruppe. Nach einem Serverneustart haben wir mit eventcreate versucht, einen Eintrag im Log vorzunehmen, aber es kommt die Fehlermeldung "Zugriff verweigert". Wo liegt der Fehler?

Gruß

Karl