jochen35

Hallo, wir planen eine kleine RDS-Farm mit 3 Session Host unter Verwendung von User Profile Disks auf einem dedizierten Windows Fileserver - alle Systeme auf Basis von Windows Server 2019. Wie ist das Verhalten solch einer Umgebung, wenn der Fileserver z.B. für Windows-Updates neu gestartet werden muss? Gibt es einen definierten Timeout bis ein Session Host die Verbindung zur UPD trennt oder anderes gefragt, benötige ich einen redundanten Fileserver um Wartungen einigermaßen transparent für die Nutzer durchführen zu können?

 

Gruß

Jochen

vor 17 Minuten schrieb cj_berlin:

Ansonsten, das normale Web Access funktioniert auf allen Plattformen gleichermaßen, solange Du nicht vorhast, WebSSO zu verwenden.

 

Eben auf einem Ubuntu-Client getestet, Login funktioniert und nach Auswahl der Sammlung wird, wie ich es erwartet habe, lediglich das RDP-File zum Download angeboten.

vor 4 Minuten schrieb cj_berlin:

Wenn es mehrere Sammlungen gibt (auf die der jeweilige User berechtigt ist), musst Du RDP Files verwenden oder RDP-Clients, die diese Sonderkonfigurationen als Parameter akzeptieren.

Das, was Du im letzten Satz beschreibst, würde ich nur erwarten, wenn der User auf dem Connection Broker Adminrechte oder zumindest RDP-Rechte hat.

 

Also wenn ich mittels mstsc.exe den FQDN des Broker angebe, bekomme ich folgende Meldung.

"Die Verbindung wurde abgelehnt, da das Benutzerkonto nicht zur Remoteanmeldung autorisiert ist."

 

Das scheint mit auch logisch, da der User keine Admin- oder RDP-Rechte auf dem Broker hat. Nutze ich hingegen das per Web Access generierte RDP-File, werde ich mit einem Session Host verbunden.

vor 5 Stunden schrieb cj_berlin:

Moin,

das, was Du beschreibst, trifft nur zu, wenn Du RemoteApps bereitstellen willst. Bei einem vollen Desktop kannst Du die Verbindung gern gegen den Connection Broker richten.

 

Ok, aber da es hinter dem Broker ja auch mehrere Sammlungen geben kann, wie gebe ich dem RDP-Client dann mit, welche Sammlung er verwenden soll. Wenn ich bei mstsc einfach nur den FQDN des Brokers angebe, will er auch auf diesem und nicht auf einem Session Host eine Sitzung starten.

Danke und nun noch eine abschließende Frage.

 

Nachdem was ich bisher gelesen habe, verbindet sich der Client ja initial mit dem Connection Broker, um dann auf einen Session Host weitergeleitet zu werden. Und wenn ich es richtig verstanden habe, kann man beim Microsoft Remotedesktopclient (mstsc) nicht einfach den Connection Broker als Ziel für die RDP-Verbindung angeben und muss stattdessen eine .rdp Datei oder Web Access verwenden. Wir haben nun eine sehr heterogene Umgebung, mit Clients wie Windows, Linux, Android, Mac OS etc.. Was ist Best Practice, um den Remotedesktop auf den Systemen verfügbar zu machen? Wird hier einfach eine entsprechend vorbereitete .rdp Datei auf die Clients verteilt und wie sieht es mit der Kompatibilität von Web Access auf nicht Windows-Systemen aus?

 

Gruß

Jochen

Vielen Dank für die Antwort.

 

Noch eine Frage.

Wir wollen per RDS auch Webex nutzen. Kann man unter Windows Server 2019 / Windows 10 nativ lokale USB-Kameras in die RDP-Session durchreichen? In diesem Zusammenhang habe ich immer wieder von RemoteFX gelesen.

Hallo,

 

wir beabsichtigen eine RDS-Umgebung für ca. 50 User auf Basis von Windows Server 2019 einzurichten.

Das Setup soll etwa so aussehen:

 

SVRRDPD01 - User Profile Disk

SRVRDCB01 - Connection Broker, Web Access, Licenseserver

SRVRDSH01 - Session Host 1

SRVRDSH02 - Session Host 2

 

Hierzu habe ich ein paar Fragen.

1. Gibt es ein transparentes Failover, also werden bei Ausfall eines Session Hosts die User Sessions vom anderen Host übernommen?

2. Bleiben die User Sessions aktiv, wenn der Connection Broker z.B. für eine Wartung temporär offline geht?

3. Was ist Best Practice, um die User Profile Disk redundant bereitzustellen, so dass beim Neustart des Servers nicht alle UPDs getrennt werden?

 

Gruß
Jochen

 

Hallo,

 

wir haben einen zentralen LDAP-Server (kein AD), auf dem ein großer Teil der Personaldaten zentral gepflegt werden. Auf Basis eines Filterkriteriums (Standort) sollen die dort gelisteten Personen in eine SharePoint 2013 Liste übertragen bzw. synchronisiert werden, so dass die SharePoint-Liste immer alle Personen und deren aktuelle Daten beinhaltet.

 

Kann man das mit Boardmitteln realisieren bzw. welche kostenfreie Lösung wäre hierfür denkbar?

 

Gruß

Jochen

Hallo,

 

ich habe eine Verständnisfrage zum Verbindungsaufbau zu einer RD-Sammlung unter Windows Server 2012 R2.

Wie kann der RDP-Client bei folgender Konfiguration gezielt eine Verbindung zu Sammlung-A oder Sammlung-B aufbauen?

Die RDP-Clients sind dabei nicht zwingend im gleichen AD (DNS-Auflösung funktioniert dann nicht) und es kann sich auch um MAC- oder Linux-Systeme handeln.

 

Server1

RD-Verbindungsbroker

RD-Lizenzierung

RD-Sitzungshost

 

Server2

RD-Sitzungshost

 

Sammlung-A

Server1

 

Sammlung B

Server2

 

Gruß

Jochen

Hallo,

ich stehe aktuell vor folgender Herausforderung. In unserem AD werden die Nutzer durch einen bereits etablierten Prozess angelegt, dabei werden aber lediglich der Benutzername sowie Vor- und Nachname im AD-Konto hinterlegt.
Wir bekommen nun Zugriff auf eine Personalliste im CSV- oder XML-Format die täglich aktualisiert wird und in der die wesentlichen Benutzerinformationen wie Anschrift, Telefon, eMail etc. hinterlegt sind. Die Informationen aus dieser Liste möchten wir nun automatisch jeden Tag zu einer bestimmten Uhrzeit auf die jeweiligen AD-Konten übertragen. Als Referenz soll der AD-Benutzername dienen, da dieser ebenfalls Bestandteil der Personalliste ist. Es sollen also keine Benutzerkonten generiert sondern lediglich die zusätzlichen Benutzerinformationen importiert werden.

Nun also die Frage, wie bzw. mit welchem Tool lässt sich das am besten lösen?

Gruß
Jochen

Ich habe den NetBIOS-Knotentyp (Peer-Peer) im DHCP gesetzt und NetBIOS am Adapter wieder aktiviert und es funktioniert.

 

Danke aber für die Tipps.

 

Gruß

Jochen

Die interne Namensauflösung funktioniert ohne Probleme.

Ich habe soeben bei einem Windows 7 Client "NetBIOS über TCP/IP" deaktiviert und siehe da, es funktioniert - der Ping liefert die Fehlemeldung sofort.

Bei den Windows 10 Clients ist NetBIOS über TCP/IP auch aktiv, doch hier führt es nicht zu dem beschriebenen Problem.

Wir verwenden überigens kein WINS und die NetBIOS-Einstellung des Adapters ist bei allen Systemen auf "Standard:" gesetzt.

 

Gruß

Jochen

Hallo,

 

wir wollen auf allen Clients ein PAC-Script für die automatische Proxy-Zuweisung einsetzen. Bei den ersten Tests hat sich jedoch gezeigt, dass alle Clients mit Windows 7 offensichtlich ein Problem mit der DNS-Namensauflösung haben und die Internetseiten nur mit Verzögerung geladen werden. Das PAC-Script prüft mittels der Funktion isResolvable(), ob der DNS-Name einer URL aufgelöst werden kann. Ist dies der Fall, wird eine direkte Verbindung genutzt ansonsten wir die Verbindung über den Proxy hergestellt. Auf unseren Windows 10 Clients und auf unserem Terminalserver mit 2012 R2 besteht das Problem nicht.

 

Interessant dabei ist, dass nslookup auf allen Systemen ohne Timeouts und Verzögerungen läuft und die gleichen Ergebnisse liefert. Wenn ich aber auf den Windows 7 Systemen einen Internet-Host anpinge (ping www.domain.tld) kommt erst nach ca. 2 Sekunden die Meldung, dass dieser nicht gefunden werden konnte - bei den Windows 10 Systemen und unseren 2012 R2 Servern kommt die Meldung jedoch sofort. Die Netzwerkadapter sind mit Ausnahme der IP-Adressen identisch konfiguriert.

 

Es scheint also fast so, dass die Windows 7 Clients für die DNS-Namensauflösung zwei verschiedene APIs verwenden.

 

Wo könnte hier das Problem liegen?

 

Gruß

Jochen

Also die Installation unserer Systeme wird u.a. auch mit Screenshots dokumentiert. Die Weiterleitungen wurden nicht per Hand eingetragen.

Gute Frage, die wurde automatisch bei der Installation der beiden DCs gesetzt. Warum auch immer?

Hallo,

 

die Ursache ist offensichtlich die DNS-Weiterleitung, denn wir haben zwei DCs die per Default an den jeweils anderen weiterleiten. Bei den Clients sind aber beide DCs als DNS-Server direkt eingetragen, so dass die Weiterleitung meiner Meinung nach keinen Sinn macht. Wenn man die Weiterleitungen rausnimmt, dann gibt es auch keine Timeouts mehr.

C:\>nslookup host1.sd2.sd1.mydomain.de
Server:  dc1.sd2.sd1.mydomain.de
Address:  xxx.xxx.1.10

Name:    host1.sd2.sd1.mydomain.de
Addresses:  xxx:xxxx:xxx::xxxx:xxx
          xxx.xxx.2.11


C:\>

 

Gruß

Jochen

Hallo,

wir haben ein Problem mit der DNS-Auflösung, die zwar funktioniert, aber bei nslookup zuerst zwei timeouts liefert.

C:\ >nslookup host1.sd2.sd1.mydomain.de
Server:  dc1.sd2.sd1.mydomain.de
Address:  xxx.xxx.1.10

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
Name:    host1.sd2.sd1.mydomain.de
Addresses:  xxx:xxxx:xxx::xxxx:xxx
          xxx.xxx.2.11

Wenn ich nslookup im Debug-Modus verwende fällt auf, dass der FQDN unnötigerweise um den DNS-Suffix ergänzt wird.

> host1.sd2.sd1.mydomain.de
Server:  dc1.sd2.sd1.mydomain.de
Address:  xxx.xxx.1.10

------------
Got answer:
    HEADER:
        opcode = QUERY, id = 2, rcode = NXDOMAIN
        header flags:  response, auth. answer, want recursion, recursion avail.
        questions = 1,  answers = 0,  authority records = 1,  additional = 0

    QUESTIONS:
        host1.sd2.sd1.mydomain.de.sd2.sd1.mydomain.de, type = A, class = IN
    AUTHORITY RECORDS:
    ->  sd2.sd1.mydomain.de
        ttl = 3600 (1 hour)
        primary name server = dc1.sd2.sd1.mydomain.de
        responsible mail addr = hostmaster.sd2.sd1.mydomain.de
        serial  = 9838
        refresh = 900 (15 mins)
        retry   = 600 (10 mins)
        expire  = 86400 (1 day)
        default TTL = 3600 (1 hour)

------------
------------
Got answer:
    HEADER:
        opcode = QUERY, id = 3, rcode = NXDOMAIN
        header flags:  response, auth. answer, want recursion, recursion avail.
        questions = 1,  answers = 0,  authority records = 1,  additional = 0

    QUESTIONS:
        host1.sd2.sd1.mydomain.de.sd2.sd1.mydomain.de, type = AAAA, class = IN
    AUTHORITY RECORDS:
    ->  sd2.sd1.mydomain.de
        ttl = 3600 (1 hour)
        primary name server = dc1.sd2.sd1.mydomain.de
        responsible mail addr = hostmaster.sd2.sd1.mydomain.de
        serial  = 9838
        refresh = 900 (15 mins)
        retry   = 600 (10 mins)
        expire  = 86400 (1 day)
        default TTL = 3600 (1 hour)

------------
DNS request timed out.
    timeout was 2 seconds.
timeout (2 secs)
DNS request timed out.
    timeout was 2 seconds.
timeout (2 secs)
------------
Got answer:
    HEADER:
        opcode = QUERY, id = 6, rcode = NOERROR
        header flags:  response, auth. answer, want recursion, recursion avail.
        questions = 1,  answers = 1,  authority records = 0,  additional = 0

    QUESTIONS:
        host1.sd2.sd1.mydomain.de, type = A, class = IN
    ANSWERS:
    ->  host1.sd2.sd1.mydomain.de
        internet address = xxx.xxx.2.11
        ttl = 1200 (20 mins)

------------
------------
Got answer:
    HEADER:
        opcode = QUERY, id = 7, rcode = NOERROR
        header flags:  response, auth. answer, want recursion, recursion avail.
        questions = 1,  answers = 1,  authority records = 0,  additional = 0

    QUESTIONS:
        host1.sd2.sd1.mydomain.de, type = AAAA, class = IN
    ANSWERS:
    ->  host1.sd2.sd1.mydomain.de
        AAAA IPv6 address = xxxx:xxxx:xxx::xxxx:xxx
        ttl = 1200 (20 mins)

------------
Name:    host1.sd2.sd1.mydomain.de
Addresses:  xxxx:xxxx:xxx::xxxx:xxx
          xxx.xxx.2.11

Hier der entsprechende Auszug aus der IP-Konfiguration

Windows-IP-Konfiguration

   Hostname  . . . . . . . . . . . . : host1
   Primäres DNS-Suffix . . . . . . . : sd2.sd1.mydomain.de
   Knotentyp . . . . . . . . . . . . : Hybrid
   IP-Routing aktiviert  . . . . . . : Nein
   WINS-Proxy aktiviert  . . . . . . : Nein
   DNS-Suffixsuchliste . . . . . . . : sd2.sd1.mydomain.de

Ethernet-Adapter LAN:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Realtek PCIe GBE Family Controller
   Physische Adresse . . . . . . . . : C0-3F-D5-xx-xx-xx
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   IPv4-Adresse  . . . . . . . . . . : xxx.xxx.2.12(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . : xxx.xxx.2.1
   DNS-Server  . . . . . . . . . . . : xxx.xxx.1.10
                                       xxx.xxx.1.11
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Der DNS-Server (dc1.sd2.sd1.mydomain.de) ist ein Windows-Server 2012 R2 (AD-integriert) und die benötigten Reverse-Lookupzonen sind vorhanden.

Wo könnte hier das Problem liegen?

Gruß
Jochen
 

Meinst Du diese hier?

 

Aber warum über das Web?

 

Strg+Shift+Ent bzw. Strg+Shift+Ende (in RDS / TS Session) geht nicht?

 

Tut mir leid, aber noch einmal, meine Fragestellung war doch eindeutig, also warum stellt man dann solche Fragen? Mag sein, dass es vielleicht den einen oder anderen Leser interessiert was der Hintergrund meiner Frage ist, aber das sollte hier eigentlich nicht thematisiert werden.

 

Gruß

Jochen

Welche Details haben den gefehlt. Meine Frage ist doch eindeutig und aus meiner Sicht bedarf es eigentlich keine weitergehenden Infos um sie zu beantworten. Die wesentlichen Rahmenbedingungen sind doch genannt.

 

Gruß

Jochen

2013 Standard

 

Gruß

Jochen

Das mag ja sein, aber wenn für Sharepoint ein AD-Konto eingerichtet wird und der entsprechende Nutzer aus dem Intranet lediglich Zugriff auf das Sharepoint hat, muss es dem Nutzer irgendwie ermöglich sein das durch die Administration festgelegte Initial-Kennwort zu ändern.

Es geht u.a. um Accounts für Sharepoint 2013, aber hier konnte ich diese Option bisher nicht finden. Wenn es Out of the Box möglich ist, wo kann man es dann aktivieren? Den betroffenen Usern steht leider kein TS zur Verfügung und ihre Zugriff ist auf TCP443 beschränkt. Es geht auch nicht um vergessene Kennwörter, sondern lediglich um die Möglichkeit sein Kennwort zu ändern.

Hallo,

 

ich suche für unser 2012 R2 AD ein kleines kostenfreies Self-Service Portal auf Basis des IIS, um den Usern die Kennwortänderung übers Web zu ermöglichen.

Offensichtlich gibt es hierfür ja einige Tools, aber welche könnt Ihr eventuell empfehlen.

 

Gruß

Jochen

Das AGDLP-Prinzip ist natürlich bekannt, es geht hier auch vielmehr um die Verschachtelung der globalen Gruppen.

Hallo,

 

für die Rechtevergabe mittels Domänen-lokalen Gruppen soll unsere Firmenhierarchie über globale Gruppen abgebildet werden. Beispiel: Ein Nutzer am Standort A gehört zur Fachgruppe 1 der Abteilung II. Hierfür würde ich folgende Gruppen anlegen.

 

G_Firma

G_Firma-StandortA

G_Firma-StandortA-AbteilungII

G_Firma-StandortA-AbteilungII-Fachgruppe1

 

Was ist bezüglich der Zuweisung Best Practice? Füge ich den Account des Nutzers aus der Fachgruppe 1 zu allen Gruppen hinzu oder nehme ich jeweils alle untergeordneten Gruppen in den übergeordneten Gruppen auf, so dass ich den Nutzer selbst nur noch in der letzten Gruppe aufnehmen muss? Wie bildet Ihr eigentlich Eure Firmenhierarchie mit den globalen Gruppen ab.

 

Gruß

Jochen