Gadget

Moin pf15ch3r,

noch ein kleiner Optimierungsvorschlag Roaming Profiles durch User Profile Disks ersetzen.

Alle RDS Projekte die ich umsetze mache ich ausschließlich mit UPDs.

Dieser Kollege schreibt zwar über Citrix aber hier sind auch einige allgemeine Askpekte bezüglich Roaming Profiles gut beschrieben.

https://james-rankin.com/articles/citrix-xenapp-xendesktop-and-folder-redirection-the-last-word/

Mehr Infos zu User Profile Disks..unbedingt kostenloses Whitepaper downloaden & durchlesen

https://www.rdsgurus.com/upd-fslogix-both-which-one-is-better/

VG Gadget

@NilsK

Spätestens nach drei Wochen Urlaub hab ich Entzug vom IT-Alltag komisch is aber so...

Wollte schon fast auf meiner letzten Kreuzfahrt-Tour nach der IT-Abteilung & dem Serverraum suchen da mir nur Cocktail schlürfen zu langweilig wurde.

VG Gadget

Ausgefüllt...

Was die alles so wissen wollen....

Ob ich ein Sabbatical wichtig finden würde...lustig als IT Fachkraft.

Wie soll ich denn das Fachwissen in Azure/O365 aufholen wenn ich ein Jahr Blau mach ^^ soll mir mal einer erklären.

Und Außerdem wer Zahlt dann das Häusle ab ^^

VG Philipp

Hallo Zusammen,

vor kurzem bin ich über einen sehr interessanten Vortrag von Linus Neumann auf einer Chaos Computer Club Konferenz gestoßen.

Die Konferenz fand zwar schon vor 5 Jahren statt, aber das Thema ist immer noch Top-Aktuell, gerade im bezug auf die DSGVO und den steigenden Sicherheitsanforderungen.

Einiges im Betrag fand ich sehr Amüsant und sehenswert.

Insbesondere auch das Routing des deutschen Internet-Traffics in Bezug auf die Telekom und Level3 ab Minute 45 des Videos.

Chaos Computer Club Vortrag: Bulls##t made in Germany (De-Mail, Schlandnet, E-Mail Made in Germany)

Gruß Philipp

vor 13 Minuten schrieb zahni:

Das geht nämlich nicht, wenn NLA erzwungen wird.

Genau, anbei noch der KB-Artikel

https://support.microsoft.com/en-us/help/2648402/you-cannot-change-an-expired-user-account-password-in-a-remote-desktop

Zitat

In the protocol specification for CredSSP, there is no reference to the ability to change the user's password while NLA is running. Therefore, the observed behavior can be considered "by design." 
CredSSP is the underlying technology that enables NLA, and it does not support password changes. Therefore, password changes are not enabled in MSTSC. Other RD clients that support NLA should be unable to change the user’s password.

Gruß Philipp

Hi Donnervogel,

ich habe Solarwinds MSP bei meinem letzten AG im Einsatz gehabt und war sehr zufrieden damit, an der einen oder anderen Ecke (Patchmanagement) hat es manchmal etwas geknirscht aber der Support von Acmeo war wirklich gut. Ich würde dir empfehlen mal auf eine Schulung von Acmeo zu gehen da kannst du dich auch mit anderen darüber austauschen.

https://www.acmeo.eu/events/1741

https://www.acmeo.eu/events/1536

Gruß Gadget

Hi Zahni,

ihmo ist das "By Design" bei aktivierter Network Level Authentication.

Sofern definitv ein lokaler Account verwendet werden muss, könnte ja ein IIS auf der Server-VM als "Self-Service Portal" zum Password Reset eingerichtet.

Anschließend wird ein Handout für die User erstellt wie Sie das Kennwort über die IIS Website zurücksetzen können.

https://support.microsoft.com/en-au/help/907271/how-to-use-the-iisadmpwd-password-change-pages

Gruß Gadget

Hi Florian,

Am 9.7.2018 um 17:34 schrieb florian_ried:

Sollten wir eine RDS-Farm anlegen? Leider ist das Wissen hierüber noch nicht so vorhanden. 

Gibt es schnelle Möglichkeiten, um ein Benutzerprofil vom "alten, WIN 2012 R2" Server auf den Win 2016 Server umzuziehen?

 

Da die Implementierung von RDS Farmen einer meiner Hauptaufgaben die letzten Jahre war...

kann ich dir nur wärmstens empfehlen die Konfiguration nach Microsoft Best Practice zu machen, du gewinnst damit Ausfallsicherheit und Performance!

1. Keine Roaming Profiles mehr verwenden - User Profile Disks bieten diverse Vorteile und sollten defintiv zum Einsatz kommen. (Fehleranfälligkeit, Performance etc.)
2. DNS Konfiguration sollte gut durchdacht werden Split-DNS Konfiguration beachten
   Bitte diesen Artikel: https://www.rdsgurus.com/windows-2012-r2-how-to-create-a-mostly-seamless-logon-experience-for-your-remote-desktop-services-environment/  "VOLLSTÄNDIG" durchlesen und verstehen!
   Gilt exakt so auch für 2016
3. Keine RDP Files verteilen bitte XML Feed Veröffentlichung verwenden
4. Für die ThinClients Kompatibilitätskonfiguration "DefaultTsvUrl" einrichten sodass ein Lastenausgleich über den Broker möglich ist (Siehe Bild-Anhang)
   https://blogs.technet.microsoft.com/askperf/2015/06/11/walkthrough-on-session-hint-tsvurl-on-windows-server-2012/
   
5. Weitergehende Literatur und Infos zur Fortbildung verwenden
   https://www.video2brain.com/de/videotraining/windows-server-2016-grundkurs-remotedesktopdienste
    

PS: Rückfrage am Rande warum in Hardware und nicht auf nem Hypervisor bzw. virtuell?

Gruß Gadget
 

Hi mac1209,

vielen Dank für deinen Beitrag, und Willkommen in der MCSEboard.de Community.

Gerne kannst du solche Beiträge in Zukunft auch unter Tipps & Links mit einem Verweis auf den Thread posten.

Dann graben wir nicht mehr so alte Beiträge aus.

Nochmals Willkommen & Gruß

Gadget

Hi Speer,

geht auch einfacher mit dem PowerShell Modul NTFSSecurity.

https://blogs.technet.microsoft.com/heyscriptingguy/2014/11/23/weekend-scripter-manage-ntfs-inheritance-and-use-privileges/

Zur grundsätzlichen Verwendung des Moduls habe ich mal nen Blog Artikel geschrieben.

https://kohn.blog/powershell/berechtigungsverwaltung-mittels-powershell-modul-ntfssecurity

Gruß Gadget

Hi Ebenezer,

hab das Buch auch schon durch, aus meiner Sicht fehlt aber etwas Tiefgang.

Hätte mir mehr Deep Dive erhofft.

Außerdem dreht sich fast die hälfe des Buches um Dritthersteller-Tools zwar interessante aber auch recht einseitig.

Kein Vergleich zwischen Screwdrivers oder Thinprint...naja finde ich persönlich nicht gut in einem Fachbuch.

PS: Kaufen würde es ich aber trotzdem wieder, aber es gibt verbesserungspotential.

Gruß Philipp

Hi Dr. Creep,

die Hardware an sich ist bei allen Markenserver ziemlich ähnlich.

Auch die Managementfunktionen sind die letzten Jahre recht ähnlich geworden.

iRMC, iLO, iDRAC schenken sich nicht viel.

Ich würde aber grundsätzlich empfehlen die Zusatzlizenz für die virtuelle Konsolensteuerung zu beschaffen sofern kein KVM over IP Switch bereits besteht.

Weiterhin sollte auf den Support geachtet werden.

Der einzige Ausreißer aus meiner Sicht in letzter Zeit ist Lenovo (=ehemals IBM SystemX Server) die meiner persönlichen Erfahrung nach recht schlechte Support-Leistungen abgeliefert haben.

Zusammengefasst:

• VMware Compatibility Guide beachten
• Markenserver beschaffen
• Virtuelle Server Konsole lizenzieren (HPE iLO Advanced)
• Garantie-Erweiterung nach Anforderung beschaffen (SLA beachten)

@monstermania

IBM bietet keine klassischen x86 Server mehr an, das komplette Geschäft wird über Lenovo abgewickelt.

Gruß Gadget

Hi Tillg,

Windows Server 2016 Essentials mit Remote Web Workplace funktioniert immer noch recht gut. 

Für E-Mail und Dateiablage würde ich Office 365 Business Premium vorschlagen. 

Anleitung ist zwar für Windows Server 2012 im Windows Server 2016 funktioniert es aber sehr ähnlich:

https://www.windowspro.de/wolfgang-sommergut/windows-server-2012-essentials-vpn-remotewebzugriff-einrichten

https://www.zdnet.de/88288518/windows-server-2016-in-kleinen-unternehmen-nutzen-auch-mit-office-365/

https://www.video2brain.com/de/tutorial/windows-server-2016-essentials-kennenlernen

Gruß Gadget

Download klappt bei mir

Gruß Gadget

Hi Gu4rdi4n,

was hast du denn für eine Firewall?

Manche bieten ja eine Option mittels Modem Stick an. 

Ansonsten habe ich persönlich gute Erfahrungen mit dem Huawei E5186 gemacht der auch LTE CAT 6 (300 MBit) kann. 

Ich hatte konkret eine Failover-Konfiguration an einer FortiGate 100D umgesetzt, was sehr stabil lief. 

Eine halbes Jahr lief sogar der komplette Webtraffic mittels Policy-Routing über den E5186 da die vorhandene Business DSL 16MBit Leitung zu langsam war und dies als Workaround genutzt wurde bis die VDSL zur Verfügung stand. 

Das Teil ist jedoch ein Router was aber mich für unser Failover-Szenario nicht gestört hat, da ich nur Webtraffic als Failover im Auge hatte. 

Alles was ne feste IP benötigt fällt ja eh ohne zusätzlichen Aufwand flach.

https://maxwireless.de/2014/test-huawei-e5186-lte-router/

Gruß Gadget.

Hi cello1804,

das beschriebene Probleme haben wir verifizierbar auf 3 völlig unterschiedlichen Kundenumgebungen gehabt und das Problem erfolgreich mit der Löschung des besagten Keys behoben.

Zitat

Remove-Item -Path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Providers\Client Side Rendering Print Provider\*" -Recurse

Gruß Gadget

vor 14 Minuten schrieb ejder178:

Werde alles mal auf Standard wieder zurücksetzten, und schauen, ob es wirklich an diesen Einstellungen liegt.

Solche Probleme konnte ich aufgrund der Berechtigungsanpassungen an der "SystemSettings.exe" nicht bestätigen, bzw. traten bei uns nicht auf. Hilft dir jetzt auch nicht wirklich weiter, sorry, aber ich installiere die Tage nochmals ne neue 2016er RDS Farm und schau mir die Speicherung der Start-Menü Einstellungen nochmals genauer an und poste hier nochmals. 

Gruß Gadget

Hi ejder178,

vor 28 Minuten schrieb ejder178:

Damit die User auf bestimmte Systemeinstellungen nicht zugreifen dürfen, habe ich für bestimmte Verknüpfungen die Berechtigung für die RDS-Gruppe entzogen.

Hat es ggf. damit was zu tun, das das Startlayout beim zweiten Login nicht korrekt angezeigt wird?

Das kann sehr wohl damit zu tun, haben welche Berechtigungen hast du denn geändert?

vor 16 Stunden schrieb ejder178:

Habe zusätzlich im Benutzerprofil-Datenträger noch folgenden Ordner mit hinzugefügt: "\AppData\Local\Microsoft", aber leider hat dies auch nichts geholfen.

Ich würde die Einstellung wählen das alle Daten in der User Profile Disk landen. 

User Profile disks data Settings, Store all user Settings and data on the user Profile disk

vor 16 Stunden schrieb ejder178:

2. Ist es normal, das bei eingeschalteten User Profile Disk, die Benutzerordner am RDSH-Server nach dem abmelden gelöscht werden?

Die VHDX Datei wird nur gemountet es wird nichts hin und her kopiert, wie Testperson ja auch schon schrieb. 

vor 7 Stunden schrieb testperson:

zu 3) Mit je einem eigenem Admin-Account pro WTS. Ein anderer Weg ist mir noch nicht bekannt.

Kann ich so bestätigen, auch wenn es mir auch nicht wirklich gefällt aber die Vorteile der User Profile Disks (Performance) überwiegen. 

Gruß Gadget

Microsoft Ignite Beitrag zur Roaming Profiles:

Roaming Profiles are Dead

Hi ejder178,

zu 1. das geht leider nur unter aktuelleren Windows 10 Builds aber nicht auf Windows Server 2016.

Workaround: Entzug der NTFS-Rechte für User auf "C:\Windows\ImmersiveControlPanel\SystemSettings.exe" per GPO.

Windows-Einstellungen/Sicherheitseinstellungen/Dateisystem (Admins explizite Rechte erteilen, Usern die Rechte entfernen).

Nachteil User können auch Hintergrundbild und co. nicht ändern, jedoch ist der Zugriff auf das Update-Panel durch die User nicht tragbar für uns, daher sperren wir dies auf Session Hosts über den Workaround immer.

zu 2. Hm naja mir kommt da der Gedanke warum User Profile Disks nicht zum tragen kamen in der Umgebung?

Gruß Gadget

Absolut, und je nach Perfomance-Ansprüchen (User-Anzahl) kann die Größe der VM auch recht klein ausfallen für den DC.

Hi Speer,

mit diesem Tool https://certifytheweb.com/ kannst du einfach Let's Encrypt Zertifikate über nen IIS erstellen, den du ja für die RD Web Access Dienste eh brauchst. 

Das Tool ist wirklich simpel im Handling im Gegensatz zu normalen Vorgehensweise bei Let's Encrypt. 

Ein Tipp für die DNS-Namen wenn eine nicht öffentliche AD-DNS Adresse hast wie Firma.local bitte folgenden Artikel beachten:

http://www.rdsgurus.com/windows-2012-r2-how-to-create-a-mostly-seamless-logon-experience-for-your-remote-desktop-services-environment/

Bitte Schaubild bei Private Domain Suffix beachten:

Beispiel übersetzt

AD-Domäne: Firma.local

Öffentlicher DNS/Website: Firma.de

Gateway: rdg.firma.de

!!Broker!!: rdcb.firma.de

http://gallery.technet.microsoft.com/Change-published-FQDN-for-2a029b80

Gruß Gadget

Hi Apex, 

fast...ich würde für Azure als DNS deinen virtuellen Azure DC verwenden, der wiederrum über die VPN Strecke sich mit deinen On-Premise Domänencontrollern synchronisiert, sonst gibt das sehr schlechte Latenzen bei der DNS-Auflösung für die virtuellen Systeme in Azure. 

Die IP-Adresse deines DCs setzt du dann über Virtual Networks als "Custom DNS"

Gruß Gadget

Hi Michael,

ja das musste ich auch mal schmerzlich lernen, seitdem installiere ich nur noch mit OEM- oder Volumelicense-Datenträgern.

Gruß Gadget

Hi Fireblade200, 

meiner Erfahrung nach ist das Homelaufwerk nur noch historisch bedingt integriert wird aber nicht mehr gebraucht. 

Viele Kunden die wir betreuen wollen es aber noch konfiguriert haben, der Mensch ist halt ein Gewohnheitstier. 

Ich konfiguriere dann einen User$ Share auf dem Fileserver

\\fileserver\users$\%username% 

Diesen verwende ich dann als Ziel für das Homelaufwerk und leite mittels GPO alle Ordner dahin um \\fileserver\users$\%username%\documents

Über AD das AD Attribut "Basisordner" Verbinden von...Mappe ich dann das Homelaufwerk als Laufwerk "H". 

Nötig ist das aber imho nicht mehr. 

Gruß Gadget