Jump to content

kaineanung

Members
  • Content Count

    417
  • Joined

  • Last visited

Community Reputation

12 Neutral

About kaineanung

  • Rank
    Member

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Oh, ok. Wollte ich dann jetzt mal machen und habe mir den ganzen Artikel bis zum Ende durchgelesen. Leider steht da nirgends wie ich das nachschauen kann. Oder, und das könnte wohl am ehesten sein, blicke ich es nicht und es steht doch da... ich sehe es aber leider nicht.
  2. Der User "Ger" (Bei mir vormals als XYZ bezeichnet) ist kein Mitglied der Geschützen Gruppen (damit sind die AD-System-Gruppen gemeint wie ich sie beschreiben würde). Der User ist auch kein AdminSDHolder (ich weiß zwar nicht wie ich das verifizieren könnte, aber laut dem Link habe ich herausgelesen das man in einer dieser Built-In-Gruppen / geschützer Gruppe sein muss. Dies ist nicht der Fall. Gibt es sonst noch mögliche Gründe warum dieser User (der Einzige aus mittlerweile über 60 RDS-User) keine CAL vom Lizenzierungsserver zugewiesen bekommt? Die Fehlermeldung "Stellen Sie sicher, dass das Computerkonto für den Lizenzserver Mitglied der Gruppe "Terminalserver-Lizenzserver" in der Active Directory-Domäne "Firma.local" ist." besagt ja daß eventuell das Computerkonto nicht Mitglied der Terminalserver-Lizenzserver"-Gruppe in der AD ist. Das mag am Anfang gestimmt haben. Aber dank dem Link, den ich weiter oben gepostet hatte, habe ich dem Lizenzierungsserver ja die Berechtigung gegeben und ab da konnte er die CALS ja verteilen / Den Usern in der AD zuweisen. ABER eben nur einem User nicht. An dieser Baustelle kann es ja dann nicht mehr liegen, richtig? An welcher könnte es aber dann noch liegen? Wo kann ich vielleichtn och nachschauen?
  3. Ist das der Fall?  Ja. Der srv-rds (also der Connection-Broker, RD WebAccess und RD-Lizenzierungsserver -> All-in-One) ist Mitglied von 'Terminalserver-Lizenzserver'. Sonst würde es bei allen anderne User wahrscheinlich auch nicht funktionieren. AdminSDHolder vermutlich. Sind oder waren die mal in einer geschützten Gruppe? Falls ja dann aktivier die Vererbung auf dem Konto wieder. Falls die da noch drin stecken, wird die sich aber immer wieder deaktivieren. Also Lösung dauerhafter Natur dann den Nutzer aus diesen Gruppen entfernen.  AdminSDHolder? Kenen ich so nicht. Aber diese User waren nie irgendwas anderes oder gar mehr als alle anderen User auch. Domänen-Benutzer + 4-5 Sicherheitsgruppenmitgliedschaften. Aber wer weiß ob sich irgendwie irgendwas derartiges hätte einschleichen können? Und ob die jemals in einer geschützen Gruppe waren? Keine Ahnung. Was ist eine geschütze Gruppe? Ich würde sagen nein. Aber wie kann ich das herausfinden? Sie haben 5-6 Gruppenmitgliedschaften. Ist vielleicht eine geschüctze dabei? Wo finde ich das heraus?
  4. Hier die Fehlermeldung (vielleicht fängt je jemand was damit an?): Der Remotedesktop-Lizenzserver kann die Lizenzattribute für Benutzer "XYZ" in der Active Directory-Domäne "Firma.local" nicht aktualisieren. Stellen Sie sicher, dass das Computerkonto für den Lizenzserver Mitglied der Gruppe "Terminalserver-Lizenzserver" in der Active Directory-Domäne "Firma.local" ist. Falls der Lizenzserver auf einem Domänencontroller installiert ist, muss das Netzwerkdienstkonto ebenfalls Mitglied der Gruppe "Terminalserver-Lizenzserver" sein. Fügen Sie in diesem Fall zunächst die entsprechenden Konten zur Gruppe "Terminalserver-Lizenzserver" hinzu, und starten Sie anschließend den Remotedesktop-Lizenzierungsdienst neu, um die Verwendung von benutzergebundenen Remotedesktopdienste-Clientzugriffslizenzen zu verfolgen bzw. Berichte darüber zu erstellen. Win32-Fehlercode: 0x80070005 Der Lizenzserver ist NICHT auf dem Domänencontroller installiert. Die Zugriffsrechte des RD-Lizenzierungsservers auf die OU 'User' in der Domäne habe ich, wie in der folgenden Anleitung beschrieben, erteilt: Remotedesktop-Lizenzserver meldet Warnung EventID 4105 (Fehlercode: 0x80070005) (Vor diesem Vorgang hat nur der Administrator Lizenzen zugewiesen bekommen. Danach jeder bis auf die o.g. Kandidaten) Diese sind wie alle anderne User in diversen Sicherheitsgruppen und in der einen einzigen OU 'User' (die User haben keine eigenen OUs bei uns). Hat jemand Rat?
  5. Habe zwar immer noch keine Lösung für das o.g. Problem. Aber ich weiß jetzt wie ich es reproduzieren kann: Diese Warnung wird immer dann protokolliert wenn man 'Trotzdem Laden / Ich kenn das Risiko, weitermachen.. usw.' klickt wenn der Browser meint die Seite wäre wegen dem fehlenden Sicherheitszertifikat unsicher. Dies passiert bei FF da dieser die Seite dann automatisch in die Ausnahmeliste einfügt. Daher passiert dies bei uns nur 'sporadisch'. So, ist das etwas was ich dann igrnoeren kann zumindest bis ich in die Welt der Zertifikate irgendwann mal durchdringe?
  6. Hallo Leute, ich habe hier ein kleines Problem. Ich habe seit Neustem eine RDS-Farm die ich schnell aufbauen musste um den Usern HomeOffice zu ermöglichen (Coronavirus). Klappt (fast) alles auch ganz gut, aber ich bekomme immer wieder Anrufe von Usern die dann doch Probleme mit dem Erreichen des RD WebAccess haben. Sie sind natürlich per VPN im Netzwerk verbunden aber der Webserver bringt denen 'irgendeine' Fehlermeldung und die können sich nicht einloggen. Ich habe zwar ein paar Bilder bekommen die die Leute mir geschickt haben, aber ich bin natürlich in die Ereignisanzeige gegangen und sehe tatsächlich lauter Warnungen in der Ereignisanzeigekategorie 'Anwendung' die auf den Webserver und ASP.NET bezogen sind. Bingo, das muss es ja sein wenn nichts anderes als Fehler oder Warnung protokolliert wurde. Wisst ihr was ich da tun könnte damit ich das abstelle? Was könnte das sein: Event code: 3005 Event message: Es ist eine unbehandelte Ausnahme aufgetreten. Event time: 20.03.2020 16:18:26 Event time (UTC): 20.03.2020 15:18:26 Event ID: d866df2c948e48938ca7ae2cd5dd532f Event sequence: 10654 Event occurrence: 288 Event detail code: 0 Application information: Application domain: /LM/W3SVC/1/ROOT/RDWeb/Pages-1-132285716635588978 Trust level: Full Application Virtual Path: /RDWeb/Pages Application Path: C:\Windows\Web\RDWeb\Pages\ Machine name: SRV-RDS Process information: Process ID: 4060 Process name: w3wp.exe Account name: IIS APPPOOL\RDWebAccess Exception information: Exception type: NullReferenceException Exception message: Der Objektverweis wurde nicht auf eine Objektinstanz festgelegt. bei Microsoft.TerminalServices.Publishing.Portal.FormAuthentication.TSFormAuthTicketInfo..ctor(HttpContext objHttpContext) bei ASP.de_de_default_aspx.<GetAppsAsync>d__0.MoveNext() --- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde --- bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw() bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task) bei System.Web.UI.PageAsyncTaskManager.<ExecuteTasksAsync>d__3.MoveNext() --- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde --- bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw() bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task) bei System.Web.UI.Page.<ProcessRequestAsync>d__554.MoveNext() Request information: Request URL: https://srv-rds.firma.local:443/RDWeb/Pages/de-DE/Default.aspx Request path: /RDWeb/Pages/de-DE/Default.aspx User host address: 172.17.10.53 User: Is authenticated: False Authentication Type: Thread account name: IIS APPPOOL\RDWebAccess Thread information: Thread ID: 105 Thread account name: IIS APPPOOL\RDWebAccess Is impersonating: False Stack trace: bei Microsoft.TerminalServices.Publishing.Portal.FormAuthentication.TSFormAuthTicketInfo..ctor(HttpContext objHttpContext) bei ASP.de_de_default_aspx.<GetAppsAsync>d__0.MoveNext() --- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde --- bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw() bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task) bei System.Web.UI.PageAsyncTaskManager.<ExecuteTasksAsync>d__3.MoveNext() --- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde --- bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw() bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task) bei System.Web.UI.Page.<ProcessRequestAsync>d__554.MoveNext() Custom event details: Danke für das Lesen bis hier hin!
  7. Hallo Leute, u.a. auch dank euch steht meine neue RDS-Farm mitsamt ConnectionBroker, RDWebAccess, RD-Lizenzierungsserver, User Disk Profile (File-) Server und 2 RD SessionHosts. Es funktioniert auch gut und die User können sich nun anmelden und arbeiten. Im RD-Lizenzierungsserver habei ch auch eine schöne Übersicht wer wann welche CALS zugeweisen bekommen hat, wie lange diese gültig sind und der Gleichen. Anfänglich habe ich ein Problem mit nicht zugewiesenen RDS-Cals / Lizenzen gehabt aber dank einer Recherche in Google habe ich auf der AD dem Terminalservice berechtigung erteilt daß dieser die vorgesehenen Attribute setzen darf (auf die User-OU) und ab da ging das alles wunderbar bei fast jedem. Das ist die Anleitung die ich ausgeführt habe damit der Lizenzierungsserver Berechtigung auf der AD bekommt: Link zur Fehlerbehebung EventID 4105 Es hat jedenfalls bei fast allen geklappt, aber komischerweise nur bei fast allen und ich kann es mir nicht erklären wie das sein kann? Ich habe 2 User (von ca. 60 RDS-Usern) die keine CAL zugewiesen bekommen und in der Eriegnisanzeige des RDS-Servers (da wo CB, WA und der Lzenzierungsserver laufen) ist wieder die Meldung mit der o.g. EventID 4105 (folgt dem Link und die MS-Warnung die ganz oben gepostet wurde ist original wie die bei mir). So, Frage aller Fragen: Wie zum Teufel kann das sein? Ich erteile dem RD-Lizenzierungsserver auf die ganzen User-OU die entsprechende Berechtigung, und 2 Userobjekte, die sich wie alle anderen auch in dieser OU befinden und sonst auch nicht anders sind, werden auch weiterhin ignoriert / anders gehandhabt / fallen durch das Raster? Was kann ich noch tun? Die User merken von Ihrem Unglück erstmal nichts. Sie werden nicht benachrichtigt das in 120 Tagen keine RDS-Verbindung mehr aufgebaut werden kann oder der Gleichen. Aber genau das befürchte ich denn eine Lizenz wird denen nicht zugeordnet und in der Ereignisanzeige auch dementsprechend protokolliert. Jemand eine Idee für mich? Danke schon einmal im Voraus für eure Hilfe!
  8. Damit ich das aber richtig verstehe: per Default ist es nicht vorgesehen?
  9. Hallo Leute, da ich noch nicht allzulange in der Welt der GPOs und GPPs bin, habe ich manchmal doch noch Verständnisprobleme. Ich hoffe ihr könnt mir schnell Licht ind Dunkel bringen. Man muss GPOs ja strikt trennen. Entweder nur Benutzereinstellungen oder nur Computereinstellungen. Das ist klar da diese zu unterschiedlichen 'Zeitpunkten' ausgeführt werden (Computereinstellungen werden beim Start vor jeglicher Benutzeranmeldung ausgeführt). So weit so verständlich. Jetzt habe ich aber vor eine GPO mit Benutzereinstellungen zu erstellen welche aber nur an bestimmten Computern ausgeführt werden sollen. Diese Computer (sind eigentlich RD SessionHosts) sind bereits in einer OU untergebracht und meine Frage ist nun: Kann ich GPO-Benutzereinstellungen auf Computer-OUs verknüpfen?
  10. Hallo Leute, ich habe jetzt etwas vor wovor ich mich schon fast 20 Jahre drücke weil ich davon gar keinen Plan habe. Dies soltle ich aber jetzt nachholen und hoffe daß ich das 'Learning by doing' in den Griff bekomme. Ich habe eine RDS-Farm aufgebaut und jetzt möchte ich daß sich die User, nachdem sie sich per VPN zum Firmennetzwerk verbunden haben, sich auf dem RDWebAccess-Server angemeldet haben, nicht nocheinmal authentifizieren müssen wenn sie die RDP-Verbindung aufbauen. Habe gelesen das man mit SingleSignOn das berwerkstelligen kann. Ich habe zwar noch kein Plan wie das geht, aber es hapert schon vorher: Zertifikate erstellen die Domänenintern vertrauenswürdig sind! Ich habe es geschafft ein CA-Server in meiner Domäne (auf einem der DCs) einzurichten. Dieser ist auch auf allen Clients in der 'Vertrauenswürdigen Stammzertifizierungsstellen' gelandet. Die Anleitung die ich befolgt hatte war Zertifizierungsstelle installieren. Jetzt möchte ich Zertifikate erstellen für 1. Webseiten wie z.B. https://srv-dc1.firma.local/certsrv, also den Webdienst der CA damit ich per IE da hinkomme ohne die Warnung "vertrauneswürdige Seite" zu bekommen (ist bestimmt gleich ein guter Test um Zertifikate auszustellen udn gleich testen zu können) 2. Meine RDS-Farm damit ich im nächsten Schritt SSO einrichten kann damit man sich vom RDWebAccess auf den ConnectionBroker ohne nochmalige Authentifizierung verbinden kann. Wie gesagt: es hapert ja schon am erstellen der Zertifikate (ich versuche und lese schon den ganzen Tag darüber. Die Test waren alle fehlgeschlagen). Ich würde am liebsten ein Wildcard-Zertifikat erstellen damit alle Server und Clients in der Domäne damit abgedeckt wären. In unserem Verantwortungsbereich gibt es keine Subdomäne und somit würden wir prima klarkommen mit einem Wildcardzertifikat wie z.B. *.firma.local (firma.local ist unsere Domäne (firma natürlich Platzhalter)). Aber ich bekomme es nicht hin! Ich teste es indem ich ein Webserver-Wildcard-Zertifikat erstelle, diesen dann exportiere und auf alle Beteiligten in 'Eigene Zertifikate' importiere. Im FF in seinen eigenen Zertifizierungsspeicher. Resultat: ich bekomme trotzdem daß es sich um eine unsichere Seite handelt (IE + FF). Also: ich brauche eine Anleitung für Dumme. Muss ich jetzt ehrlich so sagen. Ich bin, mindestens was das Thema angeht, einfach dumm! Kann mir jemand bitte helfen. Ich wäre so dankbar dafür.
  11. Und wenn ich das Gerät aus dem Verkehr ziehe bekomme ich die Lizenz dann irgendwie wieder frei? Das gleiche gilt übrigens dann auch für USer: Ist ein User, aus welchen Gründen auch immer, kein RDS-Benutzer mehr, bekomme ich die Lizenz dann wie genau wieder frei? Ich denke eine Benutzer-CAL ist in usnerem Fall dennoch vorteilhafter: Ein User der in der Firma von seinem PC aus auf dem RDS arbeitet, nach Hause geht und dort von seinem PC als HomeOffice, auch noch auf dem RDS nutzt und dann noch ein Tablet für Kundenbesiche hat bräuchte in diesem Falle 3 Device-CALS. Das gleiche mit User-Cals würde nur 1 CAL verbraten. Hmm. b***d. Somit werden die DEVICE-CALs dann zurück geschickt und neue angefordert weil dem Händler ja der Fehler unterlaufen ist. Kann ich die Lizenzen vom Server wieder deinstallieren und auf User-CALs wechseln?
  12. Hallo Leute, bei uns ist momentan das Thmea 'RDS' relativ groß. Meine Erfahrung mit RDS ist ledier relativ klein. Aber das wird jetzt aufgeholt. Ich habe nun ein RDS-'Farm' aufgestellt und habe ein aktivierten Lizenzserver. Ich habe ein paar günstige RDS USER Cals erworben um alles mal zu testen wie was geht und was zu beachten ist bevor wir dann ca. 50 weitere kaufen werden. Ich habe mich für die User-CALS entschieden weil unsere Aussendienstmitarbeiter teilweise mit mehreren Geräten von aussen auf unsere Domäne zugreifen und daher scheint mir die USER-Cals die bessere Art zu sein. Auch kann ich mir (noch) gar nicht vorstellen wie man die RDS-Cals irgendwem und irgendwas zuweist (W2K8 - Terminalserver musste nur eine RDS-Lizenz im Safe vorhanden sein. Keine technische 'Zuordnung' vorhanden gewesen -> Neuland). User muss sich ja authentifizieren und da ist der Punkt was mir logisch erscheint -> User CAL einem AD-User zuweisen und gut ist. So, jetzt ist ein Fehler passiert und wir haben statt ein paar USER-CALS nun doch DEVICE-CALS bekommen. Die Fragen dazu sind jetzt wie folgt: 1. Kann man das mischen? Kann ich jetzt 50 USER-Cals kaufen und die an User zuweisen, und die par die ich jetzt habe auf Geräte? All das auf einem RDS-Lizenzierungsserver? 2. Geräte sind nicht nur in der AD bekannte Geräte (also nicht nur Mitglieder der AD). Wie weise ich die CAL einem nicht AD Mitglied zu? Was ist mit Android-Tablet? Was ist mit sonstigen Dingen die nicht in der AD 'aufgeführt' sind? Wahrscheinlich sollte ich einfach mal machen und sehe es dann. Ich bin aber ein Freund von 'erst halbwegs verstehen bevor machen'. Daher sorry daß ich das hier erst erfragen möchte. Schon einmali m Voraus vielen Dank für eure Mühe!
  13. Und noch eine Frage: Muss ich den Lizenzserver auch gleich aktivieren und die RDS-CALS hinzufügen oder habei ch da auch eine Testperiode in der ich das erstmal testen kann? Vielleicht ist das ja der Grund warum sich kein User anmelden kann (auch wenn die Fehlermeldung dann irreführend ist). Oder aber ich muss auf dem Connection-Broker LOKAL (?!?) die Berechtigung für Remodesktopdienste setzen und dort dann die entsprechenden AD-Gruppen hinzufügen? Wenn es das ist wäre die Fehlermeldung ja plausibel. Ich kann es mir aber nicht Vorstellen das ich da lokal eingeben muss.
  14. Es ist wie immer: die Ansprüche werden mit der Zeit größer. Wenn die Obrigkeit sieht was alles geht dann 'haben wollen'. Ich habe die Aufgabe bekommen unseren Usern zu ermöglichen von zu Hause zu arbeiten. Wir hatten bisher einen W2K8 TS im Einsatz der sehr sehr schwachbrüstig ist und jetzt ersetzt werden soll. Ich habe jetzt ein ESXi Server, welcher zuvor freigeworden ist, aufgebaut mit 1,2 TB HDD (SAS 15K RAID), 2x Intel Xeon X5690 (je 6 Cores + HT) 3,46 GHz und 64 GB RAM. Darauf soll ich nun einen 'TERMINALSERVER' aufbauen (OT). Ok, sprich: RDS. Und ok, wenn dann richtig und ein wenig 'zukunfssicher' -> Hostserver sollen bei Bedarf hinzukommen. Momentan ist es noch nicht notwendig weil die Zielgruppe bei ca. 30 Usern liegt (wir haben mehr User aber momentan sind nur 30 Vorgesehen). Standalone, also die 'Schnelleinsrichtung' mit allen Rollen auf einem Server, habe ich schon öfters gemacht -> wollte sowieso schon immer mal sehen wie das ist wenn man das größer 'aufzieht'. Also habe ich mich kurz in die Materie hinein gelesen und beschlossen daß es ja so schwer nicht sein kann. Leider aber dennoch nicht wirklich auf die richtigen Anleitungen bekommen bis @Sunny61 mit den Link gepostet hat. Also nochmals zurück zu deiner Frage: Nein, Rollen müssen momentan noch nicht doppelt sein. Performant soll es schon sein, aber der Server ist relativ gut (ich habe 24 vCores zur Verfügung bei 3,46 Ghz und 64 GB RAM und 15K SAS-Platten im RAID5-Verbgund) und deshalb reicht MOMENTAN nur dieser eine. Aber ich will die Infrastruktur schaffen wo ich einfach mehrere SessionHosts hinzufügen kann. Daher habe ich jetzt 3 Server virtuell eingerichtet: srv-rds (Connection-Broker, Lizenzierungsserver, WebAccess (wir aber nicht benötigt da alles über RemoteDesktopVerbindungen gehen soll)) srv-profiles (User Profile Disk -> ist ein Fileserver mit Freigabe 'RDProfiles$')) srv-rdsh01 (SessionHost-Server) srv-rds hat 4 vCores, 4 GB RAM und 80 GB HDD srv-profiles hat 4 vCores, 4 GB RAM und 650 GB HDD srv-rdsh01 hat 16 vCores, 50 GB RAM und 100 GB HDD sollte ein weiterer SessonHost hinzukommen müssen, so habe ich bereits einen Server der nächste Woche frei wird der, ausser bei der HDD, ähnlich aufgestellt ist. Dieser würde dann bei Bedarf zum srv-rdsh02 werden und hinzugefügt werden. Des weiteren habe ich mir ein paar USER RDS CALS gekauft für MS Server 2016 RDS (User) welche ich noch nicht vergeben habe. Wie auch immer. Ich habe mich jetzt an die Anleitung gehalten die mir @Sunny61 gepostet hat, und es scheint alles zu stehen. ABER: wenn ich mich jetzt mit meinem User anmelde (ich gehe davon aus das die Anmeldestation dann immer 'srv-rds' ist und der das alles entsprechend weiterleitet, richtig?) dann wird mein Profil auf derm srv-rds angelegt statt auf dem srv-profile. Hätte irgendwas mit dem User Profile Disk nicht geklappt, hätte ich zumindest ein Profil auf srv-rdsh01 erwartet und nicht auf srv-rds. Oder habe ich hier irgendein Denkfehler (z.B. man verbindet keine Remodesktopverbindungen zum srv-rds sondern direkt zum srv-rdsh01 -> was aber kein Sinn machen würde)? Übrigens: die Datei "UVHD-template.vhdx" ist auf dem srv-profile im Share angelegt. Somit habe ich das schon richtig im Server-Manager angegeben (würde ich jetzt mal behaupten). Mein User bin ich selber und hat Admin-Berechtigung. Nehme ich einen Testuser, so wird die Verbindung verweigert: "Die verbindung wurde abgelehnt, da das Benutzerkonto nicht zur Remoteanmeldung autorisiert ist." In der AD ist er in der Gruppe "Domäne\Remotedesktopbenutzer"? Auch ist er in der AD-Gruppe enthalten die im Connection-Broker angegeben wurde daß diese auf den srv-rdsh01 geleitet werden? So, kann mir jemand hier kurz unter die Arme greifen wo ich vielelicht was vergessen habe oder wo die klassischen Fehler liegen die ich als Neuling (in RDS-Farmen aufstellen) beganngen haben könnte?
×
×
  • Create New...