jochen35

Hallo, wir planen eine kleine RDS-Farm mit 3 Session Host unter Verwendung von User Profile Disks auf einem dedizierten Windows Fileserver - alle Systeme auf Basis von Windows Server 2019. Wie ist das Verhalten solch einer Umgebung, wenn der Fileserver z.B. für Windows-Updates neu gestartet werden muss? Gibt es einen definierten Timeout bis ein Session Host die Verbindung zur UPD trennt oder anderes gefragt, benötige ich einen redundanten Fileserver um Wartungen einigermaßen transparent für die Nutzer durchführen zu können? Gruß Jochen

Eben auf einem Ubuntu-Client getestet, Login funktioniert und nach Auswahl der Sammlung wird, wie ich es erwartet habe, lediglich das RDP-File zum Download angeboten.

Also wenn ich mittels mstsc.exe den FQDN des Broker angebe, bekomme ich folgende Meldung. "Die Verbindung wurde abgelehnt, da das Benutzerkonto nicht zur Remoteanmeldung autorisiert ist." Das scheint mit auch logisch, da der User keine Admin- oder RDP-Rechte auf dem Broker hat. Nutze ich hingegen das per Web Access generierte RDP-File, werde ich mit einem Session Host verbunden.

Ok, aber da es hinter dem Broker ja auch mehrere Sammlungen geben kann, wie gebe ich dem RDP-Client dann mit, welche Sammlung er verwenden soll. Wenn ich bei mstsc einfach nur den FQDN des Brokers angebe, will er auch auf diesem und nicht auf einem Session Host eine Sitzung starten.

Danke und nun noch eine abschließende Frage. Nachdem was ich bisher gelesen habe, verbindet sich der Client ja initial mit dem Connection Broker, um dann auf einen Session Host weitergeleitet zu werden. Und wenn ich es richtig verstanden habe, kann man beim Microsoft Remotedesktopclient (mstsc) nicht einfach den Connection Broker als Ziel für die RDP-Verbindung angeben und muss stattdessen eine .rdp Datei oder Web Access verwenden. Wir haben nun eine sehr heterogene Umgebung, mit Clients wie Windows, Linux, Android, Mac OS etc.. Was ist Best Practice, um den Remotedesktop auf den Systemen verfügbar zu machen? Wird hier einfach eine entsprechend vorbereitete .rdp Datei auf die Clients verteilt und wie sieht es mit der Kompatibilität von Web Access auf nicht Windows-Systemen aus? Gruß Jochen

Vielen Dank für die Antwort. Noch eine Frage. Wir wollen per RDS auch Webex nutzen. Kann man unter Windows Server 2019 / Windows 10 nativ lokale USB-Kameras in die RDP-Session durchreichen? In diesem Zusammenhang habe ich immer wieder von RemoteFX gelesen.

Hallo, wir beabsichtigen eine RDS-Umgebung für ca. 50 User auf Basis von Windows Server 2019 einzurichten. Das Setup soll etwa so aussehen: SVRRDPD01 - User Profile Disk SRVRDCB01 - Connection Broker, Web Access, Licenseserver SRVRDSH01 - Session Host 1 SRVRDSH02 - Session Host 2 Hierzu habe ich ein paar Fragen. 1. Gibt es ein transparentes Failover, also werden bei Ausfall eines Session Hosts die User Sessions vom anderen Host übernommen? 2. Bleiben die User Sessions aktiv, wenn der Connection Broker z.B. für eine Wartung temporär offline geht? 3. Was ist Best Practice, um die User Profile Disk redundant bereitzustellen, so dass beim Neustart des Servers nicht alle UPDs getrennt werden? Gruß Jochen

Hallo, wir haben einen zentralen LDAP-Server (kein AD), auf dem ein großer Teil der Personaldaten zentral gepflegt werden. Auf Basis eines Filterkriteriums (Standort) sollen die dort gelisteten Personen in eine SharePoint 2013 Liste übertragen bzw. synchronisiert werden, so dass die SharePoint-Liste immer alle Personen und deren aktuelle Daten beinhaltet. Kann man das mit Boardmitteln realisieren bzw. welche kostenfreie Lösung wäre hierfür denkbar? Gruß Jochen

Hallo, ich habe eine Verständnisfrage zum Verbindungsaufbau zu einer RD-Sammlung unter Windows Server 2012 R2. Wie kann der RDP-Client bei folgender Konfiguration gezielt eine Verbindung zu Sammlung-A oder Sammlung-B aufbauen? Die RDP-Clients sind dabei nicht zwingend im gleichen AD (DNS-Auflösung funktioniert dann nicht) und es kann sich auch um MAC- oder Linux-Systeme handeln. Server1 RD-Verbindungsbroker RD-Lizenzierung RD-Sitzungshost Server2 RD-Sitzungshost Sammlung-A Server1 Sammlung B Server2 Gruß Jochen

Hallo, ich stehe aktuell vor folgender Herausforderung. In unserem AD werden die Nutzer durch einen bereits etablierten Prozess angelegt, dabei werden aber lediglich der Benutzername sowie Vor- und Nachname im AD-Konto hinterlegt. Wir bekommen nun Zugriff auf eine Personalliste im CSV- oder XML-Format die täglich aktualisiert wird und in der die wesentlichen Benutzerinformationen wie Anschrift, Telefon, eMail etc. hinterlegt sind. Die Informationen aus dieser Liste möchten wir nun automatisch jeden Tag zu einer bestimmten Uhrzeit auf die jeweiligen AD-Konten übertragen. Als Referenz soll der AD-Benutzername dienen, da dieser ebenfalls Bestandteil der Personalliste ist. Es sollen also keine Benutzerkonten generiert sondern lediglich die zusätzlichen Benutzerinformationen importiert werden. Nun also die Frage, wie bzw. mit welchem Tool lässt sich das am besten lösen? Gruß Jochen

Ich habe den NetBIOS-Knotentyp (Peer-Peer) im DHCP gesetzt und NetBIOS am Adapter wieder aktiviert und es funktioniert. Danke aber für die Tipps. Gruß Jochen

Die interne Namensauflösung funktioniert ohne Probleme. Ich habe soeben bei einem Windows 7 Client "NetBIOS über TCP/IP" deaktiviert und siehe da, es funktioniert - der Ping liefert die Fehlemeldung sofort. Bei den Windows 10 Clients ist NetBIOS über TCP/IP auch aktiv, doch hier führt es nicht zu dem beschriebenen Problem. Wir verwenden überigens kein WINS und die NetBIOS-Einstellung des Adapters ist bei allen Systemen auf "Standard:" gesetzt. Gruß Jochen

Hallo, wir wollen auf allen Clients ein PAC-Script für die automatische Proxy-Zuweisung einsetzen. Bei den ersten Tests hat sich jedoch gezeigt, dass alle Clients mit Windows 7 offensichtlich ein Problem mit der DNS-Namensauflösung haben und die Internetseiten nur mit Verzögerung geladen werden. Das PAC-Script prüft mittels der Funktion isResolvable(), ob der DNS-Name einer URL aufgelöst werden kann. Ist dies der Fall, wird eine direkte Verbindung genutzt ansonsten wir die Verbindung über den Proxy hergestellt. Auf unseren Windows 10 Clients und auf unserem Terminalserver mit 2012 R2 besteht das Problem nicht. Interessant dabei ist, dass nslookup auf allen Systemen ohne Timeouts und Verzögerungen läuft und die gleichen Ergebnisse liefert. Wenn ich aber auf den Windows 7 Systemen einen Internet-Host anpinge (ping www.domain.tld) kommt erst nach ca. 2 Sekunden die Meldung, dass dieser nicht gefunden werden konnte - bei den Windows 10 Systemen und unseren 2012 R2 Servern kommt die Meldung jedoch sofort. Die Netzwerkadapter sind mit Ausnahme der IP-Adressen identisch konfiguriert. Es scheint also fast so, dass die Windows 7 Clients für die DNS-Namensauflösung zwei verschiedene APIs verwenden. Wo könnte hier das Problem liegen? Gruß Jochen

Also die Installation unserer Systeme wird u.a. auch mit Screenshots dokumentiert. Die Weiterleitungen wurden nicht per Hand eingetragen.

Gute Frage, die wurde automatisch bei der Installation der beiden DCs gesetzt. Warum auch immer?

Hallo, die Ursache ist offensichtlich die DNS-Weiterleitung, denn wir haben zwei DCs die per Default an den jeweils anderen weiterleiten. Bei den Clients sind aber beide DCs als DNS-Server direkt eingetragen, so dass die Weiterleitung meiner Meinung nach keinen Sinn macht. Wenn man die Weiterleitungen rausnimmt, dann gibt es auch keine Timeouts mehr. C:\>nslookup host1.sd2.sd1.mydomain.de Server: dc1.sd2.sd1.mydomain.de Address: xxx.xxx.1.10 Name: host1.sd2.sd1.mydomain.de Addresses: xxx:xxxx:xxx::xxxx:xxx xxx.xxx.2.11 C:\> Gruß Jochen

Hallo, wir haben ein Problem mit der DNS-Auflösung, die zwar funktioniert, aber bei nslookup zuerst zwei timeouts liefert. C:\ >nslookup host1.sd2.sd1.mydomain.de Server: dc1.sd2.sd1.mydomain.de Address: xxx.xxx.1.10 DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. Name: host1.sd2.sd1.mydomain.de Addresses: xxx:xxxx:xxx::xxxx:xxx xxx.xxx.2.11 Wenn ich nslookup im Debug-Modus verwende fällt auf, dass der FQDN unnötigerweise um den DNS-Suffix ergänzt wird. > host1.sd2.sd1.mydomain.de Server: dc1.sd2.sd1.mydomain.de Address: xxx.xxx.1.10 ------------ Got answer: HEADER: opcode = QUERY, id = 2, rcode = NXDOMAIN header flags: response, auth. answer, want recursion, recursion avail. questions = 1, answers = 0, authority records = 1, additional = 0 QUESTIONS: host1.sd2.sd1.mydomain.de.sd2.sd1.mydomain.de, type = A, class = IN AUTHORITY RECORDS: -> sd2.sd1.mydomain.de ttl = 3600 (1 hour) primary name server = dc1.sd2.sd1.mydomain.de responsible mail addr = hostmaster.sd2.sd1.mydomain.de serial = 9838 refresh = 900 (15 mins) retry = 600 (10 mins) expire = 86400 (1 day) default TTL = 3600 (1 hour) ------------ ------------ Got answer: HEADER: opcode = QUERY, id = 3, rcode = NXDOMAIN header flags: response, auth. answer, want recursion, recursion avail. questions = 1, answers = 0, authority records = 1, additional = 0 QUESTIONS: host1.sd2.sd1.mydomain.de.sd2.sd1.mydomain.de, type = AAAA, class = IN AUTHORITY RECORDS: -> sd2.sd1.mydomain.de ttl = 3600 (1 hour) primary name server = dc1.sd2.sd1.mydomain.de responsible mail addr = hostmaster.sd2.sd1.mydomain.de serial = 9838 refresh = 900 (15 mins) retry = 600 (10 mins) expire = 86400 (1 day) default TTL = 3600 (1 hour) ------------ DNS request timed out. timeout was 2 seconds. timeout (2 secs) DNS request timed out. timeout was 2 seconds. timeout (2 secs) ------------ Got answer: HEADER: opcode = QUERY, id = 6, rcode = NOERROR header flags: response, auth. answer, want recursion, recursion avail. questions = 1, answers = 1, authority records = 0, additional = 0 QUESTIONS: host1.sd2.sd1.mydomain.de, type = A, class = IN ANSWERS: -> host1.sd2.sd1.mydomain.de internet address = xxx.xxx.2.11 ttl = 1200 (20 mins) ------------ ------------ Got answer: HEADER: opcode = QUERY, id = 7, rcode = NOERROR header flags: response, auth. answer, want recursion, recursion avail. questions = 1, answers = 1, authority records = 0, additional = 0 QUESTIONS: host1.sd2.sd1.mydomain.de, type = AAAA, class = IN ANSWERS: -> host1.sd2.sd1.mydomain.de AAAA IPv6 address = xxxx:xxxx:xxx::xxxx:xxx ttl = 1200 (20 mins) ------------ Name: host1.sd2.sd1.mydomain.de Addresses: xxxx:xxxx:xxx::xxxx:xxx xxx.xxx.2.11 Hier der entsprechende Auszug aus der IP-Konfiguration Windows-IP-Konfiguration Hostname . . . . . . . . . . . . : host1 Primäres DNS-Suffix . . . . . . . : sd2.sd1.mydomain.de Knotentyp . . . . . . . . . . . . : Hybrid IP-Routing aktiviert . . . . . . : Nein WINS-Proxy aktiviert . . . . . . : Nein DNS-Suffixsuchliste . . . . . . . : sd2.sd1.mydomain.de Ethernet-Adapter LAN: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Realtek PCIe GBE Family Controller Physische Adresse . . . . . . . . : C0-3F-D5-xx-xx-xx DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja IPv4-Adresse . . . . . . . . . . : xxx.xxx.2.12(Bevorzugt) Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : xxx.xxx.2.1 DNS-Server . . . . . . . . . . . : xxx.xxx.1.10 xxx.xxx.1.11 NetBIOS über TCP/IP . . . . . . . : Aktiviert Der DNS-Server (dc1.sd2.sd1.mydomain.de) ist ein Windows-Server 2012 R2 (AD-integriert) und die benötigten Reverse-Lookupzonen sind vorhanden. Wo könnte hier das Problem liegen? Gruß Jochen

Meinst Du diese hier? Tut mir leid, aber noch einmal, meine Fragestellung war doch eindeutig, also warum stellt man dann solche Fragen? Mag sein, dass es vielleicht den einen oder anderen Leser interessiert was der Hintergrund meiner Frage ist, aber das sollte hier eigentlich nicht thematisiert werden. Gruß Jochen

Welche Details haben den gefehlt. Meine Frage ist doch eindeutig und aus meiner Sicht bedarf es eigentlich keine weitergehenden Infos um sie zu beantworten. Die wesentlichen Rahmenbedingungen sind doch genannt. Gruß Jochen

2013 Standard Gruß Jochen

Das mag ja sein, aber wenn für Sharepoint ein AD-Konto eingerichtet wird und der entsprechende Nutzer aus dem Intranet lediglich Zugriff auf das Sharepoint hat, muss es dem Nutzer irgendwie ermöglich sein das durch die Administration festgelegte Initial-Kennwort zu ändern.

Es geht u.a. um Accounts für Sharepoint 2013, aber hier konnte ich diese Option bisher nicht finden. Wenn es Out of the Box möglich ist, wo kann man es dann aktivieren? Den betroffenen Usern steht leider kein TS zur Verfügung und ihre Zugriff ist auf TCP443 beschränkt. Es geht auch nicht um vergessene Kennwörter, sondern lediglich um die Möglichkeit sein Kennwort zu ändern.

Hallo, ich suche für unser 2012 R2 AD ein kleines kostenfreies Self-Service Portal auf Basis des IIS, um den Usern die Kennwortänderung übers Web zu ermöglichen. Offensichtlich gibt es hierfür ja einige Tools, aber welche könnt Ihr eventuell empfehlen. Gruß Jochen

Das AGDLP-Prinzip ist natürlich bekannt, es geht hier auch vielmehr um die Verschachtelung der globalen Gruppen.

Hallo, für die Rechtevergabe mittels Domänen-lokalen Gruppen soll unsere Firmenhierarchie über globale Gruppen abgebildet werden. Beispiel: Ein Nutzer am Standort A gehört zur Fachgruppe 1 der Abteilung II. Hierfür würde ich folgende Gruppen anlegen. G_Firma G_Firma-StandortA G_Firma-StandortA-AbteilungII G_Firma-StandortA-AbteilungII-Fachgruppe1 Was ist bezüglich der Zuweisung Best Practice? Füge ich den Account des Nutzers aus der Fachgruppe 1 zu allen Gruppen hinzu oder nehme ich jeweils alle untergeordneten Gruppen in den übergeordneten Gruppen auf, so dass ich den Nutzer selbst nur noch in der letzten Gruppe aufnehmen muss? Wie bildet Ihr eigentlich Eure Firmenhierarchie mit den globalen Gruppen ab. Gruß Jochen