phatair

Hallo zusammen, im Moment sind alle unsere PCs (ca. 80) über die OEM Lizenzen aktiviert. Da ich den ganzen Installationsprozess automatisiert habe, haben wir einen OPEN Vertrag bei MS eröffnet und einen Windows 10 Pro VL gekauft. Damit habe ich nun das Recht auf imagen erworben und kann auch ohne Probleme downgraden auf Win7. Soweit so gut. Nun würde ich beim imagen aber gerne einen KMS verwenden und nicht den MAK. Hier habe ich mich nun etwas eingelesen und bin aber doch noch sehr verwirrt. Ich hoffe mir kann hier jemand helfen. Diese beiden (Gruppenrichtlinien.de und server-talk.eu) Beiträge fand ich sehr gut. Hier wird immer wieder erwähnt (wie auch hier im Forum) das ich einen Windows Client KMS Key nicht auf einem Server betreiben kann. Möchte ich z.B. Windows 7 über einen KMS aktivieren der auf einem 2012R2 läuft, benötige ich einen 2012R2 KMS Key. Die Frage ist vielleicht etwas doof aber wo bekomme ich den her? Den Windows 7 KMS Key erhalte ich im VLSC, da ich die Windows 10 Pro OPEN Lizenz gekauft habe. Muss ich z.B. einen 2012R2 OPEN Datacenter Lizenz kaufen um den KMS Key zu erhalten? Die zweite Frage wäre, es wird bei server-talk.eu immer von einer Mindestanzahl 25 bei Clients gesprochen. Was genau heißt das? Muss ich immer mindestens 25 Clients über den KMS aktiviert haben? Ich hätte bei uns jetzt alle neuen Clients über den KMS aktiviert, dass sind am Anfang ja keine 25 - klappt das dann gar nicht? Sprich müsste ich erstmal alle bestehenden PCs mit der OEM Lizenz umwandeln in KMS Clients (in dem ich den Win7Pro Client KMS Key FJ82H-XT6CR-J8D7P-XQJJ2-GPDD4 verwende)? Für eine Antwort wäre ich sehr dankbar. Das würde mich schon mal etwas weiterbringen. Gruß

Ich bin auch nicht der RDS Spezialist, ich kann Dir nur sagen wie ich es gemacht habe. Du kannst für jeden Dienst entweder einen eigenen Server nutzen oder aber mehrere Dienste auf einem laufen lassen. Auf dem Lizenzserver muss nicht zwinged ein Connection Broker und Webaccess laufen. Den Connection Broker und WEbaccess kannst du natürlich später mal benötigen. Deshalb habe ich Sie mir gleich installiert. Ich glaube Best Practise war einen "Remote Desktop Management Server" zu installieren - der hat die Rollen Connecton Broker, WebAccess, RD Gateway (falls benötigt), Lizenzserver + RD-Host (der wird wohl immer benötigt, auch wenn er nicht als RD-Host in einer Sammlung erscheint - bin mir da aber nicht mehr 100% sicher). Dann fügst du nur noch weitere RD-Hosts hinzu und erstellst deine Sammlungen. Wenn du aber nur einen RDS Server benötigtst, kannst du auch alle Rollen auf einen packen oder den Lizenz Server alleine auf einem anderen laufen lassen. Diese Anleitung hat mir sehr geholfen: http://blogs.technet.com/b/tommypatterson/archive/2014/02/19/step-by-step-lab-guide-for-building-a-windows-server-2012-r2-remote-desktop-services-environment.aspx

Hi Christoph, ich verstehe deine Frage so, dass du wissen möchtest ob man auf dem RD-Sitzungshost auch den Lizenzserver laufen lassen kann. Wir haben das im Moment so laufen. Es gibt nur einen 2012R2 RDS Server, dieses hostet im Moment alle Rollen (also Verbindungsbroker, Sitzungshost, Lizenz und Web Access). Funktioniert einwandfrei und ich hatte dazu auch keine genauen Infos gefunden. Wenn in Zukunft einer (oder mehrere) RD-Sitzungshost hinzukommen kann man das ja auch ändern. Gruß

Ok, wenn Du das sagst ;) Danke auf jeden Fall für eure Hilfe!

Super, danke für die Info. Das reicht locker.

Ok :) Hab ich den irgendeine Möglichkeit die Zuordnung CAL->Benutzer wieder aufzulösen? Was ist wenn ein MItarbeiter das Unternehmen verläßt, ist die CAL dann auch verloren? Sorry für die "blöden" Fragen aber ich steige bei dem Thema Lizenzen von MS noch nicht so wirklich durch. Gerade was die CALs angeht. AUch wenn MS das versucht auf einigen technet Seiten zu erklären... Ich möchte aber auch die Logik dahinter verstehen. 120€ finde ich jetzt zwar nicht billig, aber ja, natürlich kaufe ich für alle benötigten User eine CAL. Darum geht es bei meiner Frage ja aber nicht und umgehen möchte ich das eben so wenig.

OK, kann ich dann einfach anstatt der 5 lizenzierten Verbindungen 7 verwenden? 5 sind über die CALs lizenziert und 2 sind "kostenlos" da für Administratoren zum administrieren? Ich dachte, wenn 5 User und somit 5 CALs verbraucht sind, kann sich keiner mehr anmelden. Oder geht das weiterhin und ich muss nur schauen das die Lizenzen zu der Anzahl an Usern passt?

Vielen Dank euch beiden. Heißt dann also auch, wenn sich jemand am RDS anmeldet (z.B. für Tests mit einem Testuser), wird ihm auch eine CAL zugewiesen und diese ist dann "verloren". Oder ich muss mich per mstsc /v:host /admin anmelden, damit keine CAL verwendet wird? Soweit ich das verstanden habe, sind 2 RDP Verbindungen "kostenlos", zum administrieren.

Hallo zusammen, ich habe eine Frage zu den RDS CALs. Wir haben für unseren RDS Server 5 User CALs gekauft. Diese sind im Lizenzmanager eingespielt worden. Was sich mir jetzt noch nicht wirklich erschließt, ist die Verwendung der CALs. Werden die User CALs jetzt automatisch den ersten 5 AD Usern zugewiesen, die sich am RDS Server anmelden? Oder werden die CALs nur den aktiven Sitzungen zugwiesen - heißt es können sich 5 USer anmelden und Schluss ist. Wenn sich jetzt einer abmeldet, kann sich wieder einer anmelden. Die CAL ist aber nicht an die AD User Objekte gebunden sondern bestimmt einfach nur wieviele User gleichzeitig den RDS Server nutzen können? Wäre für eine Hilfe sehr dankbar. Gruß

Hi Norbert, Problem gefunden bzw. die Thematik verstanden. Es hängt bei uns noch ein Mail Gateway dazwischen, dieser synchronisiert zu einem bestimmten Zeitpunkt die LDAP Objekte. Somit hätte ich gestern nur die Syncronisierung manuell starten oder eben bis heute warten müssen. Jetzt ist das Objekt bzw. die Mail bekannt und alles funktioniert. Ich war so auf den Exchange konzentriert, dass ich dies einfach übersehen hatte. Sorry! Gruß

Hi Norbert, bezüglich Postfach und Verteilerliste - gar nicht :) Blöde Frage, japp. Ich wollte nur sichergehen. Hatte bisher viel mit dem David zu tun und nicht mit Exchange und war mir etwas unsicher. Per telnet hat es intern funktioniert. Auch funktioniert das verschicken an den Verteiler per Outlook intern ohne Probleme. Vor unserem Exchange ist 1&1 geschaltet - wie das genau konfiguriert ist weiß ich nicht genau, da ich erst seit kurzem in der Firma angestellt bin. Werde das aber in Erfahrung bringen. Danke für den Tipp mit telnet.

Hallo zusammen, ich habe das Problem, dass bei unserem Exchange 2010 eine Verteilergruppe nicht von extern erreichbar ist. Intern funktioniert es einwandfrei. Auch habe ich den Haken in den Eigenschaften der betroffenen Verteilergruppe unter “Nachrichtenübermittlungseinstellungen”, “Einschränkungen für die Nachrichtenzustellung” und dort bei “Authentifizierung aller Absender anfordern" entfernt. Trotzdem erhalte ich beim versenden von extern eine Fehlermeldung: reason: 550 5.5.0 ... no such recipient - Ich bin nun etwas ratlos, da überall nur von der "Authentifzierung aller Absender anfordern" Option gesprochen wird. Diese Option ist aber definitiv bei uns nicht aktiviert. Auch sonst sind die Einstellungen nicht verändert worden. Unter eMail-Adressen ist auch die korrekte Empfängeradresse eingetragen. Wir haben eine Universelle eMail-Verteilergruppe erstellt, in dieser sind die User enthalten, die über die Verteilergruppe eMails erhalten sollen. Damit ich von extern, über eine Verteilergruppe, eMails empfangen kann, benötige ich nicht zwingend ein Postfach für diese Verteiler eMailadresse, oder? Danke euch schon mal.

Ja der auch, aber der zweite war noch besser bzw. verständlicher ;) Oh... :rolleyes: Ich hatte übersehen dass dieser Button bei jedem Beitrag zu finden ist. Ich dachte damit markiere ich den Thread als gelöst und nicht den einzelnen Beitrag als Lösung. Würde ja gerne mehrere Beiträge als Lösung markieren - jetzt ists halt der Norbert geworden, da ich es so ähnlich umgesetzt habe ;)

Hallo zusammen, ok ich glaube ich habe es verstanden. Loopback ist die Wahl ;) Mir kam es in den Beiträgen, die ich gelesen hatte, so vor, als wäre Loopback einfach nicht mehr zeitgemäß und unübersichtlich. Daher mein Gedanke eine andere Lösung zu finden. Grundsätzlich habe ich mich mit Loopback schon beschäftigt. Ich finde die Lösung von Norbert ganz gut. Werde wohl auch eine Standard Richtlinie bauen, die dann an beiden OUs (User und RDP Server) hängen und dann noch extra Computer und Benutzerrichtlinien die dann nur auf die RDS OU verlinkt sind. Ich hatte aber auch einen Denkfehler - hatte irgendwie immer den Gedanken, dass die Einstellungen für die Loopback Richtlinie in einer OU stehen müssen (also die Computer und Benutzer Einstellungen). Ist natürlich totaler Blödsinn. So ergeben sich aber gleich viel mehr Möglichkeiten. Danke daabm aber auch noch mal für die Links. Werde mich auch dort noch mal einlesen. EDIT: Daabm der 2. Link von dir hat die loopback Funktion noch mal sehr gut beschrieben. Vielen Dank noch mal für den Link!

Ich hatte auf mehreren Seiten gelesen, dass bei der Option "zusammenführen" leicht Fehler passieren. Da z.B. die Benutzereinstellungen aus der loopback Richtlinie und alle Benutzereinstellungen, die auf das Benutzerobjekt wirken, zusammengeführt werden. Wenn man nun viele Einstellungen/Richtlinien hat, die auf das Benutzer Objekt wirken, muss man diese ja immer berücksichtigen, wenn es um die Einstellungen für die RDS Server geht. Wähle ich nicht "zusammenführen" sondern "ersetzen" habe ich alles schön übersichtlich in einer RDS Richtlinie. Nur muss ich dann alle Einstellungen, die für das Benutzer Objekt und die RDS Richtlinie gelten, zweimal pflegen. Zum Beispiel das Laufwerksmapping oder die Ordnerumleitung. Bin nun am überlegen was übersichtlicher ist und von der Konfiguration mehr Sinn ergibt.

Hallo zusammen, ich habe folgende Situation. Ich ziehe gerade einen 2012R2 RDS Server hoch. Soweit funktioniert auch alles. Nun hatte ich eine Gruppenrichtlinie definiert, die per loopback (ersetzen) die Einstellungen für die User anpasst. Da ich aber auch Ordnerumleitungen nutze und das Laufwerksmapping auch über GPO läuft, wurde es mir mit dem loopback zu unübersichtlich. Ich wollte kein zusammenführen verwenden, da dann zu viele verschiedene GPOs vermischt werden und ich den Überblick verliere. Nun habe ich die Richtlinie aufgeteilt, eine GPO für Computereinstellungen und eine GPO für Benutzereinstellungen. Die Computereinstellungen hängen an der OU, in der der RDS Server liegt. Soweit kein Problem. Die Benutzereinstellungen würde ich nun an unsere "Benutzer OU" hängen. Die Einstellungen sollen natürlich nur für die User gelten, die sich am RDS Server angemeldet haben. Also hätte ich die RDS Sicherheitsgruppe in die Sicherheitsfilterung eingetragen. Problem wäre jetzt aber weiterhin, dass die Richtlinie, bei den Usern die in der Sicherheitsgruppe enthalten sind, ja auch auf deren lokalen PCs wirkt. Wenn ich einen WMI Filter an die Benutzer GPO hängen würde, der nach dem RDS Server Namen filtert. Dann würde die User Richtlinie doch nur wirken, wenn der Benutzer sich am RDS Server anmeldet. Meldet er sich an seinem lokalen PC an, wirkt die GPO nicht. Somit könnte ich mir auch die Sicherheitsgruppe sparen. Sehe ich das richtig oder gibt es eine andere/bessere Lösung? Gruß

Danke Dir, Sunny! Ja, testen werde ich es noch, ich wollte mich nur absichern ob ich vielleicht komplett falsch liege oder etwas schwerwiegendes übersehe. Auch wenn ich es teste, fühle ich mich bei solchen Sachen sicherer, wenn ich mir eine 2. Meinung eingeholt habe :) Test war soweit erfolgreich. Auf die neue Freigabe kann über das bestehende Netzlaufwerk problemlos zugegriffen werden. Nur bekomme ich den alten mount Pfad nicht entfernt. Wenn ich auf die Partition einen rechten Mausklick mache und mir die Laufwerksbuchstaben bzw. Pfade anzeigen lasse, erhalte ich beim entfernen des Pfades die Meldung "Zugriff verweigert". Ich habe alle Zugriffe auf den mount Pfad entfernt und die Aktion auch als Administrator durchgeführt. Ich bekomme den mount Pfad aber einfach nicht raus. Hat hier noch jemand eine Idee? Ist zwar nur die Testumgebung aber ich würde gerne wissen wie ich diesen Fehler umgehen bzw. lösen kann. EDIT: Hmm..komisch...nach 2 Neustarts hat es auf einmal per commandline funktioniert.

Hi lefg, ich glaube ich drücke mich vielleicht unglücklich aus. Bei mir sind auch keine User berechtigt, nur der Administrator und sonst nur Gruppen. Auch möchte ich keine "Gruppe ohne händische Authenfizierung und der Einzeluser mit händischer Authenfizierung" sondern nur ein Fenster für die Authentifizierung beim Zugriff auf die Freigabe. Ganz einfach so, wie bei der Admin Freigabe C$. Dort ist auch kein User berechtigt oder ähnliches. Greife ich als Domänen Admin oder als Administrator auf die Freigabe C$ zu, erhalte ich sofort Zugriff. Greife ich als normaler Domänen Benutzer auf C$ zu, erhlate ich ein Fenster für die Authentifzierung. Ich möchte kein "von hinten durch die Brust ins Auge" Lösung :) Gebe ich dir Recht Sunny - manchmal hat man so seine Angewohnheiten und mich hat es einfach gewundert, warum das nicht geht. Aber sicherer wäre es über RDP sicherlich, ob schneller und einfach ist Geschmackssache. Werde mich einfach umgewöhnen.

Hi Sunny61, nein der User ist ja gar nicht in der Gruppe, ich möchte ja mit einem User, der keinen Zugriff auf die Freigabe hat, die Freigabe anpsrechen und dann soll ein Fenster erscheinen das mir ermöglicht mich mit einem User zu authentifzieren der die korrekte Berechtigung besitzt. Klingt vielleicht komisch, aber ist so :) Hintergrund ist folgender. Ich habe eine Freigabe erstellt, auf die haben nur Admins Zugriff. Hier liegt Software, LIzenzen, Infos usw. Wenn ich nun bei einem User bin und dieser benötigt eine spezielle Software oder ich möchte eine Lizenz nachschauen, würde ich mich gerne auf die Freigabe schalten. Also gebe ich im Explorer \\SERVER\Freigabe ein. Da der User ja noch angemeldet ist, hat dieser natürlich keinen Zugriff. Jetzt würde ich mich gerne mit meinem eigenen User (der dann ja berechtigt wäre) authentifizieren. Bei der Admin Freigabe (c$) funtioniert das auch, bei meiner eigenen eben nicht.

Hi, auf unserem File Server gibt es aus der Vergangenheit noch eine Partition die in einem Ordner bereitgestellt wird (und keinen Laufwerksbuchstaben besitzt). Auf dieser Partition ist eine Freigabe vorhanden. Ich möchte nun dieses bereitgestellte Partition lösen und ganz normal als Laufwerk einbinden. Wenn ich dies nun ändere, ändert sich von der NTFS Berechtigung her ja nichts, oder? Ich muss danach wahrscheinlich die Freigabe neu erstellen aber das wars dann auch schon. Die Netzlaufwerke funktionieren auch weiterhin, da diese ja nur auf die Freigabe zeigen und wenn diese wieder vorhanden ist, läuft alles ganz normal weiter. Oder habe ich hier irgendwas übersehen? Ich habe bisher noch nicht mit bereitgestellten Partitionen gearbeitet, deswegen bin ich hier etwas unsicher. Danke euch schon mal. Gruß

Hi NilsK, genau diese Konfiguration hatte ich eigentlich auch getestet. Eine Freigabe erstellt - die Freigabeberechtigung auf "jeder" Vollzugriff gesetzt und die NTFS Berechtigung mit der Gruppe versehen. Trotzdem habe ich immer die Meldung erhalten - "Kein Zugriff" und erhalte keine Möglichkeit zur Authentifzierung mit einem anderen User (wie bei der Admin Freigabe). Aber wie gesagt, ich mache das nun über die Admin Freigabe, falls ich auf das Verzeichnis zugreifen muss und mit einem User angemeldet bin der dort keinen Zugriff hat.

Hi Martin, danke für deine Antwort. Ich bin nach längerem Suchen auch zu dem Entschluss gekommen, dass es wohl nicht so einfach möglich ist. Macht ja auch irgendwie Sinn - dafür setzt man ja auch die Berechtigung um Zugriffe zu verhindern. Wäre für meinen Fall zwar schön gewesen aber dann gehe ich hier halt nicht über die Freigabe, sondern über die administrative Freigabe. Gruß

Hallo zusammen, ich habe folgendes Problem. Wir haben einen Server 2012 auf dem eine versteckte Freigabe angelegt ist (Admin-Share$). Diese Share hat als "Freigabeberechtigung" eine Gruppe definiert mit Vollzugriff. Die gleiche Gruppe ist auch in den NTFS Berechtigungen mit ändern Rechten angelegt. Der Zugriff auf die Freigabe funktioniert mit den Usern, die in dieser Gruppe enthalten sind ohne Probleme. Wenn ich allerdings mit einem User auf die Freigabe zugreifen möchte, der nicht in dieser Gruppe ist, erhalte ich eine Fehlermeldung. Die Fehlermeldung sagt aus, dass ich keine Berechtigung habe diese Freigabe einzusehen und ich soll mich an die Administratoren wenden. Wenn ich versuche auf die C$ Freigabe des gleichen Servers zuzugreifen (mit dem gleichen User) erhalte ich ein Fenster in dem ich meine Anmeldedaten eintragen kann und dann bekomme ich auch Zugriff auf die Freigabe. Was habe ich bei meiner Freigabe falsch gemacht? Ich möchte eine Freigabe die nur für Admins Zugriff bietet aber auf die ich auch zugreifen kann, wenn ich mit einem anderen User angemeldet bin (das dann eben die Aufforderung einer Authentifzierung erscheint, wie bei C$) Für Hilfe wäre ich sehr dankbar. Gruß

Falls jemand vor der gleichen Frage steht: Hier ein gutes HowTo: http://blogs.technet.com/b/tommypatterson/archive/2014/02/19/step-by-step-lab-guide-for-building-a-windows-server-2012-r2-remote-desktop-services-environment.aspx Laut MS wird empfohlen immer den RDMS zu verwenden, auch wenn man nur einen Server betreibt. Wenn man sich den RDMS etwas ansieht, ist es gar nicht so schlecht :)

Hallo zusammen, ich habe eine Frage zur RDP Sitzungshost Rolle auf einem 2012R2 Server. Ich habe die Rolle des Sitzungshosts auf einem extra dafür installierten Server installiert. Von einem 2008R2 Server hatte ich das noch so in Erinnerung, dass dann die Verwaltungstool ebenso auf dem Server installiert wurden und ich den Sitzungshost konfigurieren konnte (Lizenzserver, Optionen, usw). Nun habe ich aber all dies auf dem 2012R2 Server nicht - ich kann den RDP Sitzungshost nirgends konfigurieren und habe bei Google jetzt nur die Info gefunden, dass man wohl die Rollen Verbindungsbroker und Lizensierungserver zwingend benötigt. Ist das richtig? Kann ich einen einzelnen RDP Server gar nicht betreiben ohne die weiteren Rollen? Wir benötigen im Moment nur einen RDP Server - das würde bedeuten ich installiere auf diesem Server einfach alle 3 Rollen (oder verteile sie auf mehrere Server). Eine Lizenz habe ich noch nicht, da ich erstmal den RDP Server installieren und testen wollte. Für eine kurze Rückinfo wäre ich sehr dankbar. Gruß EDIT: Ok, es scheint wohl wirklich unter 2012R2 kein einzelner RDP Sitzungshost mehr zu funktionieren. Man benötigt immer den RemoteDesktopManagementServer - auch wenn man nur einen einzelnen RDP Server betreiben will. http://blogs.technet.com/b/askperf/archive/2012/10/30/windows-8-windows-server-2012-remote-desktop-management-server.aspx Falls ich hier falsch liege oder jemand weiß wie man das ohne einen RDMS realisieren kann (ohne eine Bastellösung), würde ich mich über eine Antwort freuen.