phatair

Ich hatte auf mehreren Seiten gelesen, dass bei der Option "zusammenführen" leicht Fehler passieren. Da z.B. die Benutzereinstellungen aus der loopback Richtlinie und alle Benutzereinstellungen, die auf das Benutzerobjekt wirken, zusammengeführt werden. Wenn man nun viele Einstellungen/Richtlinien hat, die auf das Benutzer Objekt wirken, muss man diese ja immer berücksichtigen, wenn es um die Einstellungen für die RDS Server geht.

Wähle ich nicht "zusammenführen" sondern "ersetzen" habe ich alles schön übersichtlich in einer RDS Richtlinie. Nur muss ich dann alle Einstellungen, die für das Benutzer Objekt und die RDS Richtlinie gelten, zweimal pflegen. Zum Beispiel das Laufwerksmapping oder die Ordnerumleitung.

Bin nun am überlegen was übersichtlicher ist und von der Konfiguration mehr Sinn ergibt.

Hallo zusammen,

ich habe folgende Situation.

Ich ziehe gerade einen 2012R2 RDS Server hoch. Soweit funktioniert auch alles. Nun hatte ich eine Gruppenrichtlinie definiert, die per loopback (ersetzen) die Einstellungen für die User anpasst. Da ich aber auch Ordnerumleitungen nutze und das Laufwerksmapping auch über GPO läuft, wurde es mir mit dem loopback zu unübersichtlich. Ich wollte kein zusammenführen verwenden, da dann zu viele verschiedene GPOs vermischt werden und ich den Überblick verliere.

Nun habe ich die Richtlinie aufgeteilt, eine GPO für Computereinstellungen und eine GPO für Benutzereinstellungen. Die Computereinstellungen hängen an der OU, in der der RDS Server liegt. Soweit kein Problem. Die Benutzereinstellungen würde ich nun an unsere "Benutzer OU" hängen. Die Einstellungen sollen natürlich nur für die User gelten, die sich am RDS Server angemeldet haben. Also hätte ich die RDS Sicherheitsgruppe in die Sicherheitsfilterung eingetragen. Problem wäre jetzt aber weiterhin, dass die Richtlinie, bei den Usern die in der Sicherheitsgruppe enthalten sind, ja auch auf deren lokalen PCs wirkt.

Wenn ich einen WMI Filter an die Benutzer GPO hängen würde, der nach dem RDS Server Namen filtert. Dann würde die User Richtlinie doch nur wirken, wenn der Benutzer sich am RDS Server anmeldet. Meldet er sich an seinem lokalen PC an, wirkt die GPO nicht. Somit könnte ich mir auch die Sicherheitsgruppe sparen.

Sehe ich das richtig oder gibt es eine andere/bessere Lösung?

Gruß

Danke Dir, Sunny!

Ja, testen werde ich es noch, ich wollte mich nur absichern ob ich vielleicht komplett falsch liege oder etwas schwerwiegendes übersehe.

Auch wenn ich es teste, fühle ich mich bei solchen Sachen sicherer, wenn ich mir eine 2. Meinung eingeholt habe :)

Test war soweit erfolgreich. Auf die neue Freigabe kann über das bestehende Netzlaufwerk problemlos zugegriffen werden.

Nur bekomme ich den alten mount Pfad nicht entfernt. Wenn ich auf die Partition einen rechten Mausklick mache und mir die Laufwerksbuchstaben bzw. Pfade anzeigen lasse, erhalte ich beim entfernen des Pfades die Meldung "Zugriff verweigert".

Ich habe alle Zugriffe auf den mount Pfad entfernt und die Aktion auch als Administrator durchgeführt. Ich bekomme den mount Pfad aber einfach nicht raus. Hat hier noch jemand eine Idee? Ist zwar nur die Testumgebung aber ich würde gerne wissen wie ich diesen Fehler umgehen bzw. lösen kann.

EDIT: Hmm..komisch...nach 2 Neustarts hat es auf einmal per commandline funktioniert.

Moin,

 

ich guck mir diesen Thread schon öfters an, mir erschliesst sich aber der Sinn nicht wirklich mit dem Zugriff für die Gruppe ohne händische Authenfizierung und der Einzeluser mit händischer Authenfizierung, meiner Intuition nach ist das ein von hinten durch die Brust ins Auge.

 

Ob man die Sache einmal neu denkt?

 

Bei "mir" sind ausser dem Administrator keine User in den ACLs eingetragen, nur Gruppen.

Hi lefg,

ich glaube ich drücke mich vielleicht unglücklich aus. Bei mir sind auch keine User berechtigt, nur der Administrator und sonst nur Gruppen.

Auch möchte ich keine "Gruppe ohne händische Authenfizierung und der Einzeluser mit händischer Authenfizierung" sondern nur ein Fenster für die Authentifizierung beim Zugriff auf die Freigabe. Ganz einfach so, wie bei der Admin Freigabe C$. Dort ist auch kein User berechtigt oder ähnliches. Greife ich als Domänen Admin oder als Administrator auf die Freigabe C$ zu, erhalte ich sofort Zugriff. Greife ich als normaler Domänen Benutzer auf C$ zu, erhlate ich ein Fenster für die Authentifzierung. Ich möchte kein "von hinten durch die Brust ins Auge" Lösung :)

Schneller, sicherer und einfächer wäre der schnelle Benutzerwechsel und/oder per RDP sich direkt auf den Server verbinden und die nötigen Informationen holen.

Gebe ich dir Recht Sunny - manchmal hat man so seine Angewohnheiten und mich hat es einfach gewundert, warum das nicht geht. Aber sicherer wäre es über RDP sicherlich, ob schneller und einfach ist Geschmackssache.

Werde mich einfach umgewöhnen.

Hi Sunny61,

nein der User ist ja gar nicht in der Gruppe, ich möchte ja mit einem User, der keinen Zugriff auf die Freigabe hat, die Freigabe anpsrechen und dann soll ein Fenster erscheinen das mir ermöglicht mich mit einem User zu authentifzieren der die korrekte Berechtigung besitzt.

Klingt vielleicht komisch, aber ist so :)

Hintergrund ist folgender. Ich habe eine Freigabe erstellt, auf die haben nur Admins Zugriff. Hier liegt Software, LIzenzen, Infos usw.

Wenn ich nun bei einem User bin und dieser benötigt eine spezielle Software oder ich möchte eine Lizenz nachschauen, würde ich mich gerne auf die Freigabe schalten. Also gebe ich im Explorer \\SERVER\Freigabe ein. Da der User ja noch angemeldet ist, hat dieser natürlich keinen Zugriff. Jetzt würde ich mich gerne mit meinem eigenen User (der dann ja berechtigt wäre) authentifizieren. Bei der Admin Freigabe (c$) funtioniert das auch, bei meiner eigenen eben nicht.

Hi,

auf unserem File Server gibt es aus der Vergangenheit noch eine Partition die in einem Ordner bereitgestellt wird (und keinen Laufwerksbuchstaben besitzt). Auf dieser Partition ist eine Freigabe vorhanden.

Ich möchte nun dieses bereitgestellte Partition lösen und ganz normal als Laufwerk einbinden. Wenn ich dies nun ändere, ändert sich von der NTFS Berechtigung her ja nichts, oder? Ich muss danach wahrscheinlich die Freigabe neu erstellen aber das wars dann auch schon.

Die Netzlaufwerke funktionieren auch weiterhin, da diese ja nur auf die Freigabe zeigen und wenn diese wieder vorhanden ist, läuft alles ganz normal weiter.

Oder habe ich hier irgendwas übersehen? Ich habe bisher noch nicht mit bereitgestellten Partitionen gearbeitet, deswegen bin ich hier etwas unsicher.

Danke euch schon mal.

Gruß

Hi NilsK,

genau diese Konfiguration hatte ich eigentlich auch getestet. Eine Freigabe erstellt - die Freigabeberechtigung auf "jeder" Vollzugriff gesetzt und die NTFS Berechtigung mit der Gruppe versehen.

Trotzdem habe ich immer die Meldung erhalten - "Kein Zugriff" und erhalte keine Möglichkeit zur Authentifzierung mit einem anderen User (wie bei der Admin Freigabe).

Aber wie gesagt, ich mache das nun über die Admin Freigabe, falls ich auf das Verzeichnis zugreifen muss und mit einem User angemeldet bin der dort keinen Zugriff hat.

Hi Martin,

danke für deine Antwort. Ich bin nach längerem Suchen auch zu dem Entschluss gekommen, dass es wohl nicht so einfach möglich ist. Macht ja auch irgendwie Sinn - dafür setzt man ja auch die Berechtigung um Zugriffe zu verhindern.

Wäre für meinen Fall zwar schön gewesen aber dann gehe ich hier halt nicht über die Freigabe, sondern über die administrative Freigabe.

Gruß

Hallo zusammen,

ich habe folgendes Problem.

Wir haben einen Server 2012 auf dem eine versteckte Freigabe angelegt ist (Admin-Share$). Diese Share hat als "Freigabeberechtigung" eine Gruppe definiert mit Vollzugriff. Die gleiche Gruppe ist auch in den NTFS Berechtigungen mit ändern Rechten angelegt.

Der Zugriff auf die Freigabe funktioniert mit den Usern, die in dieser Gruppe enthalten sind ohne Probleme.

Wenn ich allerdings mit einem User auf die Freigabe zugreifen möchte, der nicht in dieser Gruppe ist, erhalte ich eine Fehlermeldung. Die Fehlermeldung sagt aus, dass ich keine Berechtigung habe diese Freigabe einzusehen und ich soll mich an die Administratoren wenden.

Wenn ich versuche auf die C$ Freigabe des gleichen Servers zuzugreifen (mit dem gleichen User) erhalte ich ein Fenster in dem ich meine Anmeldedaten eintragen kann und dann bekomme ich auch Zugriff auf die Freigabe.

Was habe ich bei meiner Freigabe falsch gemacht? Ich möchte eine Freigabe die nur für Admins Zugriff bietet aber auf die ich auch zugreifen kann, wenn ich mit einem anderen User angemeldet bin (das dann eben die Aufforderung einer Authentifzierung erscheint, wie bei C$)

Für Hilfe wäre ich sehr dankbar.

Gruß

Falls jemand vor der gleichen Frage steht: Hier ein gutes HowTo: http://blogs.technet.com/b/tommypatterson/archive/2014/02/19/step-by-step-lab-guide-for-building-a-windows-server-2012-r2-remote-desktop-services-environment.aspx

Laut MS wird empfohlen immer den RDMS zu verwenden, auch wenn man nur einen Server betreibt.

 

You should use the new RDS installation method, even in the case of a single Remote Desktop Session Host.  This is because RDS deployments can now only be managed through RDMS or via Windows PowerShell.  Standalone RDS implementations are possible, but they must be managed exclusively using Powershell.

Wenn man sich den RDMS etwas ansieht, ist es gar nicht so schlecht :)

Hallo zusammen,

ich habe eine Frage zur RDP Sitzungshost Rolle auf einem 2012R2 Server.

Ich habe die Rolle des Sitzungshosts auf einem extra dafür installierten Server installiert.

Von einem 2008R2 Server hatte ich das noch so in Erinnerung, dass dann die Verwaltungstool ebenso auf dem Server installiert wurden und ich den Sitzungshost konfigurieren konnte (Lizenzserver, Optionen, usw).

Nun habe ich aber all dies auf dem 2012R2 Server nicht - ich kann den RDP Sitzungshost nirgends konfigurieren und habe bei Google jetzt nur die Info gefunden, dass man wohl die Rollen Verbindungsbroker und Lizensierungserver zwingend benötigt.

Ist das richtig? Kann ich einen einzelnen RDP Server gar nicht betreiben ohne die weiteren Rollen?

Wir benötigen im Moment nur einen RDP Server - das würde bedeuten ich installiere auf diesem Server einfach alle 3 Rollen (oder verteile sie auf mehrere Server). Eine Lizenz habe ich noch nicht, da ich erstmal den RDP Server installieren und testen wollte.

Für eine kurze Rückinfo wäre ich sehr dankbar.

Gruß

EDIT: Ok, es scheint wohl wirklich unter 2012R2 kein einzelner RDP Sitzungshost mehr zu funktionieren. Man benötigt immer den RemoteDesktopManagementServer - auch wenn man nur einen einzelnen RDP Server betreiben will.

http://blogs.technet.com/b/askperf/archive/2012/10/30/windows-8-windows-server-2012-remote-desktop-management-server.aspx

Falls ich hier falsch liege oder jemand weiß wie man das ohne einen RDMS realisieren kann (ohne eine Bastellösung), würde ich mich über eine Antwort freuen.

Also die Umstellung des Switch Ports auf FastPort hat leider auch nicht gebracht. Die Fehlermeldung erscheint weiterhin im Ereignislog.

Da ich aber sonst keine Fehler habe und alle Richtlinien, Anwendungen und Zugriffe funktionieren, bin ich mit meinem Latein am Ende.

Vielleicht liegt es wirklich nur an der SSD und der Rechner fährt einen Tick zu schnell hoch.

Ich habe jetzt schon mehrere Tipps durchgearbeitet - Angefangen bei eventid bis hin zu spiceworks und technet.

Mal schauen ob ich noch eine Lösung finde - falls ja werde ich diese hier posten.

Moin,

 

wie bekommt der Client seine IP?

 

Fest oder per DHCP?

Poste mal eine Ausgabe von Ipconfig /all am CMD

 

Sieht so aus, als wenn der Client die Domäne zu spät findet, das ist meist ein Indiz für DNS-Probleme, entweder am Client oder in der Domäne.

 

Wie viele DC / DNS Server hast du?

 

;)

Moin,

ich wusste doch, dass ich etwas vergessen habe :)

Die IP wird per DHCP (per Reservierung) vergeben. DC/DNS Server gibt es 2.

Hier mal die Ausgabe von ipconfig -all

Windows-IP-Konfiguration

   Hostname  . . . . . . . . . . . . : NAME
   Primäres DNS-Suffix . . . . . . . : domain.com
   Knotentyp . . . . . . . . . . . . : Hybrid
   IP-Routing aktiviert  . . . . . . : Nein
   WINS-Proxy aktiviert  . . . . . . : Nein
   DNS-Suffixsuchliste . . . . . . . : domain.com

Ethernet-Adapter LAN-Verbindung 3:

   Verbindungsspezifisches DNS-Suffix: domain.com
   Beschreibung. . . . . . . . . . . : Intel(R) Gigabit CT Desktop Adapter
   Physikalische Adresse . . . . . . : 68-05-CA-2C-5C-05
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::9db5:c3b7:4bc1:bbf9%15(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 172.27.143.13(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.252.0
   Lease erhalten. . . . . . . . . . : Mittwoch, 19. August 2015 08:13:01
   Lease läuft ab. . . . . . . . . . : Mittwoch, 19. August 2015 09:43:01
   Standardgateway . . . . . . . . . : 172.27.143.254
   DHCP-Server . . . . . . . . . . . : 172.27.143.225
   DHCPv6-IAID . . . . . . . . . . . : 342361546
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1D-5F-89-02-B0-83-FE-83-42-F9

   DNS-Server  . . . . . . . . . . . : 172.27.143.225
                                       172.27.143.227
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Funktioniert denn der PC anschließend, oder kommen später weitere Fehler? 

 

Wenn nicht, ignoriere den Fehler einfach. Mein Windows 7 PC hier mit einer SSD ist auch "zu schnell"  für einige  Dienste.

 

Die  Meldungen kommen aber nur  beim Hochfahren.

 

Bzw. schaue mal hier  https://support.microsoft.com/en-us/kb/2421599

Danach kommen keine Fehler mehr. Auch so funktioniert alles, aber der Fehler sieht irgendwie komisch aus und es wird auch nirgends gemeldet, dass die Anmeldeserver nun korrekt gefunden wurden oder ähnliches. Ich habe gerne ein sauberes Eventlog :)

Danke für den Link - die Gruppenrichtlinien werden aber korrekt abgearbeitet.

Hallo zusammen,

ich habe an einem neuen Windows 7 Client folgendes Problem.

Beim starten des Clients erhalte ich im Ereignislog die Fehlermeldung

Error NETLOGON 5719
Der Computer konnte eine sichere Sitzung mit einem Domänencontroller in der Domäne KTS aufgrund der folgenden Ursache nicht einrichten:
Es sind momentan keine Anmeldeserver zum Verarbeiten der Anmeldeanforderung verfügbar.
Dies kann zu Authentifizierungsproblemen führen. Stellen Sie sicher, dass der Computer mit dem Netzwerk verbunden ist. Wenden Sie sich an den Domänenadministrator, wenn das Problem weiterhin besteht.  

ZUSÄTZLICHE INFORMATIONEN
Wenn dieser Computer ein Domänencontroller der bestimmten Domäne ist, wird eine sichere Sitzung zum primären Domänencontrolleremulator in der bestimmten Domäne eingerichtet. Andernfalls richtet dieser Computer eine sichere Sitzung zu einem beliebigen Domänencontroller in der bestimmten Domäne ein.

Des Weiteren erhalte ich die Meldung

Warnung Time-Service 129
Aufgrund eines Ermittlungsfehlers konnte von "NtpClient" kein Domänenpeer als Zeitquelle festgelegt werden. In 3473457 Minuten wird ein weiterer Versuch ausgeführt und das Intervall für weitere Versuche anschließend verdoppelt Fehler: Der Eintrag wurde nicht gefunden. (0x800706E1)

Die Time-Service Warnung wird nach 1 Minute erfolgreich abgeschlossen.

Bezüglich des NETLOGON Fehlers habe ich die Gruppenrichtlinien

Nichts hat bisher geholfen. Der Fehler erscheint immer wieder beim hochfahren.

Das ganze passiert nur bei dem neuen PC. Ein Modell welches wir sonst noch nicht im Unternehmen haben und das erste mit SSD.

In dem KB Eintrag von Microsoft wird als erstes erwähnt, FastPort auf dem Switch zu aktivieren. Dies habe ich bisher nicht gemacht, da unser Admin für diesen Bereich noch keine Zeit hatte dies durchzuführen und den Befehl nicht wirklich kennt (das kann dauern......) .

Auch habe ich schon eine andere Netzwerkkarte eingebaut, um auszuschließen das es vielleicht an der Netzwerkkarte liegt. Die Netzwerkkarte protokolliert im Ereignislos dann 1 Sekunde vor dem Netzlogon Fehler Error ein Warning "e1qexpress 27" mit "Netzwerkverbinung wurde unterbrochen".

Hat irgendjemand noch eine Idee, was hier falsch läuft oder an was dies liegen kann? An sich kann ich zwar keine Probleme feststellen aber ich würde diesen Fehler im Ereignislog doch gerne beseitigen.

Vielen Dank schon mal.

Gruß

Ja, da stimme ich dir zu lefg. Hätte es ein Tool gegeben welches diese Aufgabe leicht und locker bewältigt, hätte ich mir dieses genauer angeschaut. Wir werden aber sicherlich kein komplexes Tool einführen nur um diesen Fall abzudecken. Dafür läuft es zu stabil und in der Praxis nicht notwendig. Wenn dann würde ich mir das mit den Script noch mal anschauen.

Vielen Dank für eure Hilfe.

Hi lefg,

vielen Dank für deine Mühe. Das tool hatte ich auch schon gefunden. Klingt sehr interessant aber leider nicht ganz für den Zweck wie wir ihn benötigen würden.

HIer kann ich "nur" die Änderungen usw. an den GPOs reporten lassen - wer hat wann was und wo geändert. Aber das bezieht sich leider nicht auf die Endgeräte.

Aber trotzdem vielen Dank. Ich denke das solch ein Tool wirklich schwierig zu bekommen ist. Gerade auch mit dem Hintergrund, dass die GPOs an sich sehr stabil laufen und man selten für alle Endgeräte einen Report benötigt.

Gibt es bei euch solche Probleme das GPO's nicht angewandt werden?

Nein haben wir nicht aber was hat das mit meiner Frage zu tun?

Es geht einfach nur darum, ob man das irgendwie reporten kann. Wenn es nicht geht oder kein tool bekannt ist, ist das ja auch ok.

Hintergrund ist einfach nur, dass es Anfragen gibt "Wie stellen Sie sicher das Ihre GPOs wirklich angewendet wurden" z.B. vom BSI

Werde mal weiterschauen, ansonsten geht das halt nicht bzw. nur umständlich über Scripte - Danke schon mal dafür!

Hi lefg,

mir ist klar das ich mit gpresult -r oder gpresult -h einen Report bekomme. Das machen wir ja auch stichprobenartig so.

Aber das hilft mir nicht, wenn wir wissen wollen ob GPO XYZ auf allen Workstations angewendet wurde. Ich kann ja schlecht auf allen PCs gpresult ausführen und dann die Infos manuell zusammentragen.

Natürlich kann ich sagen, das GPO ist auf die OU angewendet und alle PCs, User haben diese erhalten da sie in der Sicherheitsgruppe enthalten sind oder weil es auf alle angewendet wird. Aber wenn jemand dies schwarz auf weiß sehen möchte tue ich mich schwer. Deshalb die Frage nach einem Tool.

Hallo zusammen,

ich bin auf der Suche nach einem Tool, welches mir ermöglicht eine Übersicht zu erstellen, welche GPOs auf welchen Endgeräten aktiv sind bzw. ob sie angewendet wurden.

Im Moment erstellen wir GPOs, testen diese und setzen sie dann produktiv. Danach prüfen wir stichprobenartig ein paar PCs/User und schauen ob die GPOs aktiv sind. Nun haben wir aber die Anforderung, dass wir dies reporten sollen. Gibt es sowas überhaupt und wenn ja kann jemand so ein Tool empfehlen?

Gruß

Danke MurdocX,

ich hatte es immer nur mit einem Ordner getestet und nicht die Option "Für alle übernehmen" gedrückt. dachte nicht das es damit etwas zu tun hat.

Nach dem klick auf "Für alle  Ordner übernehmen" geht es nun.

Vielen Dank.

Gruß

Hallo zusammen,

gibt es eine Möglichkeit, dass auf einem RDP Server (2008 R2) die Einstellung unter "Ansicht ändern" im Windows Explorer gespeichert wird?

Der User ändert die Ansicht auf "Liste" aber nach einer erneuten Anmeldung ist die Ansicht wieder auf "Details" gestellt. Wenn er innerhalb der Sitzung den Explorer schließt und wieder öffnet ist die Änderung noch vorhanden.

Kann man dies irgendwo einstellen, dass diese Änderung beim abmelden gespeichert wird und somit dauerhaft gespeichert ist?

Gruß

EDIT: Es handelt sich dabei um Roaming Profiles

Hallo zusammen,

wir haben jetzt unseren ersten 2012R2 Server im Netzwerk und ich würde somit auch die ADMX Files updaten, um für die neuen Server auch GPOs bauen zu können.

Wir nutzen einen zentralen Speicherort für die GPOs. Reicht es wenn ich vom neuen 2012R2 Server die ADMX und ADML Dateien aus dem PolicyDefinition Ordner unter WINDOWS in den zentralen Speicherort kopiere (oder sollte man sich lieben das komplette Paket von MS laden) oder muss ich noch etwas beachten? Bestehende GPOs werden davon ja nicht betroffen sein, wenn ich es richtig in Erinnerung habe.

Eine weitere Frage noch aus reiner Neugier. Wurden eigentlich nur neue GPOs für Server 2012, 2012R2 und Windows 8 hinzugefügt oder wurden auch GPOs für ältere Betriebssysteme hinzugefügt, verbessert?

Gruß,

Steffen

Hallo zusammen,

ich habe folgendes Problem. Wir haben eine RDP Farm mit einem connection broker und einem Web Access Server.

Über den Remote Web Access stellen wir RemoteApps zu Verfügung. Im Moment ist es noch so, dass die User sich auf der Web Access Seite anmelden müssen und sich dann beim starten der Remote App noch mal gegenüber dem connection broker authentifizieren müssen.

Alle RDP Server, der Connection Broker und Web Access Server sind mit einem Zertifikat von unserem CA Server versehen.

Einen Remote Destop Gateway nutzen wir nicht, da wir bei externen Mitarbeitern mit VPN arbeiten.

Auf dem connection broker und den RDP Servern ist im Moment aber noch eingetellt - Remotedesktop Gatewayeinstellungen automatisch ermitteln.

Könnte das der Fehler sein? Kann ich diese Option einfach deaktivieren?

Ich habe mich schon durch diese Anleitung gelesen aber ich bekomme das SSO nicht zum laufen. Hat noch jemand einen Tip für mich?

Alle genannten Server sind 2008 R2 SP1, Clients sind W7 und XP SP3.

EDIT: Der Fehler ist gefunden. Auf einem der RDP Server hat noch das Zertifikat gefehlt und ich musste per GPO die Delegierung von Standardanmeldeinformationen zulassen.

Hallo Norbert,

vielen Dank für den Link. Das bedeutet aber auch, das man einen CA Server benötigt, richtig?

Kann man diese Rolle einem 2008R2 Enterprise Server einfach hinzufügen und dann mit dem erstellen der Zertifikate etwas "spielen". Ich möchte nur Zertifikate für die RDP Farm und RemoteDesktop Apps erstellen.

Oder ist die Gefahr, dass man sich z.B. selbst aussperrt oder ähnliches, sehr groß und man sollte das lieber von einem erfahrenen Dienstleister machen lassen?

Gruß,

Steffen

Hallo,

das Thema ist leider etwas hinten runtergefallen. Nun habe ich aber das Zertifikat vom RDP Server auf meinem PC in die vertrauenswürdige Stammzertifizierungstellen importiert. Wenn ich eine RDP Verbindung zu dem Server aufbaue kommt aber trotzdem die Meldung "Zertifikatfehler - der Servername auf dem Zertifikat ist falsch".

Der Angeforderte Remotecomputer ist unsere RDP Farm, im Zertifikat stehen die einzelnen RDP Server. Kann ich für die Farm auch ein Zertifikat erstellen?