Norman-79

Hallo,

kann uns einer sagen warum so etwas nicht vorgesehen ist?

Den "normale" RDS- Webfronten  kann man doch auch mit SSO erreichen.

Gruss Norman

Hallo Gemeinde,

wir sind dabei den aktuellen WebClient auf unserer Remote Desktop Umgebung(Server 2019) zu testen.

Könnt ihr mir bitte sagen wie wir SSO hinbekommen?

Ich habe schon intensiv gesucht und konnte aber komischer Weise keine Infos darüber finden.

Vielen Dank.

Gruss Norman

Es gibt zwei Connectoren.

• Inbound from xxxxxxxx
  • From; Your Org
  • To: O365
     
• Outbound to xxxxxxxxx
  • From: O365
  • To: Your Org

Ein neuen Connector mit den Einstelllungen "From: Your org  To: Your Org" kann man nicht erstellen!

Aber in diese Richtung müsste es ja gehen oder?? 

Gruss Norman

Hallo Norbert,

danke für das schnelle Feedback.

Alle Outlook Clients kommunizieren mit O365 (https://outlook.office365.com) .

Ich habe in O365 keine speziellen Connectoren(wie bei OnPrem) gefunden.

Wie kann ich das realisieren?

Danke.

Gruss Norman

Hallo Gemeinde,

ich habe mal eine ganz simple Frage(Hatte dazu nichts im I-Net gefunden):

- Lässt sich die "Message Size Restrictions" anpassen auf interne und externe Mailkommunikation? 

Ziel(Bsp:)

- externe Mail <10MB

- interne Mail <20MB 

Infrastruktur:

- Exchange Hybrid

Danke für eure Unterstützung.

Gruss Norman

Hallo,

so, nun sind wir soweit mit allen Test und Konfigurationsvarianten durch und scheitern leider an einem Punkt.

Infrastruktur:

• RD001.contos.com (RD-WEB; RD-GW)
• RD002.contoso.com (RD-CB)
• RD010.contoso.com (RD-SB)

IST- Stand:

• Anmeldung über Azure Enterprise Application inkl. MFA funktioniert
  • Login mit Mailadresse -> IWA: internal Application SPN= "HTTP/rd001.contoso.com"; Delegated Login Identity= "On-premise user principal name"  -> RD Webfrontend startet erfolgreich  
• Starten der Remote APP
  • intern: MFA Authentifizierung -> App startet erfolgreich
  • extern: 
    • keine Login Daten im Anmeldefenster der RDP Datei -> Nutzer muss UPN Namen und Passwort eingeben
    • Versuch des Verbindungsaufbaus -> "Der Anmeldeversuch ist fehlgeschlagen." 

Frage:

Ist es nicht möglich die Anmeldeinformationen(Kerberos Ticket) an die Remote App zu übergeben?

Ziel:

Nutzer meldet sich nur einmal bei Microsoft mit seiner Mailadresse an -> MFA -> RD Webfrontend -> starten der Remote APP -> Fertig 

Ich hoffe ihr könnt uns auch noch über die letzte Hürde helfen.

Danke.

Gruss Norman 

OK. Danke.

Ich setze mich sofort ran.

Moin,

kannst du das etwas genauer erklären?

Meinst du, dass der Link nur eine Anleitung ist für den WebClient und nicht für RDP?

Passt diese Anleitung besser zu unserem Problem? -> https://docs.microsoft.com/de-de/azure/active-directory/authentication/howto-mfa-nps-extension-rdg

Danke.

Gruss Norman   

Hallo,

kann keiner hierzu Input liefern?

Hat keiner eine RDS Umgebung mit MFA?

Gruss Norman

Hallo liebe Gemeinde,

ich habe mal eine Frage bezüglich der Azure MFA Absicherung eines lokalen RDS Servers.

Wir bearbeiten dieses Thema schon relativ lange und bekommen einfach keine Lösung hin. Ich hoffe ihr könnt uns hier evtl. den richtigen Tipp geben.

Ausgangslage:

• lokale Domain (Level 2012R2) -> "contoso.local"
• SAMAccountName:  "Nutzerkürzel Bsp.: abc-mmust"
• UPN:  "Nutzerkürzel Bsp.: abc-mmust@contoso.com"
• Mail: "max.mustermann@contos.com"
• Azureanbindung (Azure AD Connect Server) -> Group Writeback, Passwort Replication
• ADFS Server
• lokalen RDS 2019 (zu Testzwecke alle Rollen auf einem Server(ausser RD Session Host)) -> Testumgebung wurde nach Anleitung von Microsoft eingerichtet(siehe Quelle)
• RD-Umgebung
  • RDTEST10.contoso.local (Connection Broker, Gateway, Web Access)
  • RDTESTDSK01.contoso.local (Session Host)
  • RDLIC01.contoso.local (Lizenzserver)
  • DNS(Public): rdtest.contoso.com -> rdtest-contoso.msappproxy.net
  • DNS(intern): rdtest.contoso.com -> IP von rdtest10.contoso.local

Ziel:

• Nutzer sollen sich an unserem RDS Server mittels MFA authentifizieren (Web)
• starten der RDP Datei -> MFA Authentifizierung 

Problem:

• Nutzeranmeldung wird scheinbar nicht bzw. falsch an den Gateway Server durchgereicht
  • Ablauf externer Aufruf:
  1. RDS Umgebung: https://rd.contoso.com/RDWeb
  2. Anmeldeseite Microsoft -> Login: max.mustermann@contoso.com
  3. Weiterleitung ADFS Server -> Loginname wird weitergereicht -> Eingabe Passwort
  4. MFA Authentifizierung -> erfolgreich
  5. Popup Basic-Authentifizierung(Melden Sie sich an um auf diese Website zuzugreifen. Autorisierung angefordert von https://rdtest.contoso.com): keine Logindaten weitergegeben
     1. Login nur möglich mit Nutzerkürzel abc-mmust@contoso.local
  6. starten der Remote-App -> Basic-Authentifizierung(Anmeldeinformationen eingeben. Geben Sie den Benutzernamen und das Kennwort ein, um eine Verbindung mit "RDTEST10.contoso.local" herzustellen.) -> RemoteApps starten nicht ("Remoteverbindung wird initiiert" -> Der Anmeldeversuch ist  fehlgeschlagen.) -> es ist egal welche Anmeldeinformation man hier eingibt 
     
      
  • Ablauf interner Aufruf(RD Gateway Settings: Bypass RD Gateway server for local addresses):
  1. RDS Umgebung: https://rd.contoso.com/RDWeb -> interne Auflösung direkt zum Connection Broker / Gateway Server
  2. SSO -> Weboberfläche 
  3. starten der Remote-App ohne weitere Anmeldungen 
      
  • Ablauf interner Aufruf(RD Gateway Settings deaktiviert: Bypass RD Gateway server for local addresses ):
    1. RDS Umgebung: https://rd.contoso.com/RDWeb -> interne Auflösung direkt zum Connection Broker / Gateway Server
    2. SSO -> Weboberfläche 
    3. starten der Remote-App -> Basic-Authentifizierung(Anmeldeinformationen eingeben. Geben Sie den Benutzernamen und das Kennwort ein, um eine Verbindung mit "RDTEST10.contoso.local" herzustellen.) -> "Getrennte RemoteApp Bei der Verbindung mit der Remote-Ressource ist ein Problem aufgetreten. Bitten Sie den Netzwerkadministrator um Hilfe." -> es ist egal welche Anmeldeinformation man hier eingibt 

RDP File:

• redirectclipboard:i:1
  redirectprinters:i:1
  redirectcomports:i:1
  redirectsmartcards:i:1
  devicestoredirect:s:*
  drivestoredirect:s:*
  redirectdrives:i:1
  session bpp:i:32
  prompt for credentials on client:i:1
  server port:i:3389
  allow font smoothing:i:1
  promptcredentialonce:i:1
  gatewayusagemethod:i:1
  gatewayprofileusagemethod:i:1
  gatewaycredentialssource:i:0
  full address:s:RDTEST10.contoso.local
  gatewayhostname:s:rdtest.contoso.com
  pre-authentication server address:s:https://rdtest10.contoso.local require pre-authentication:i:1
  workspace id:s:RDTEST10.contoso.local
  use redirection server name:i:1
  loadbalanceinfo:s:tsv://MS Terminal Services Plugin.1.TestCollection4
  use multimon:i:1
  alternate full address:s:RDTEST10.contoso.local
  signscope:s:Full Address,Alternate Full Address,Use Redirection Server Name,Server Port,GatewayHostname,GatewayUsageMethod,GatewayProfileUsageMethod,GatewayCredentialsSou
  rce,PromptCredentialOnce,Pre-authentication server address,RedirectDrives,RedirectPrinters,RedirectCOMPorts,RedirectSmartCards,RedirectClipboard,DevicesToRedirect,DrivesT
  oRedirect,LoadBalanceInfo

Quelle:

- https://docs.microsoft.com/en-us/azure/active-directory/app-proxy/application-proxy-integrate-with-remote-desktop-services

Bemerkung:

Wir sind schon relativ lange dabei dieses Problem zu beheben und haben auch einen externen Dienstleister hinzugezogen. Doch leider bekommen wir das nicht hin.

Ich hoffe ihr könnt uns hier ein paar Tipps geben damit wir das endlich gelöst bekommen. Es ist keine komplexe Umgebung und die Anforderung ist doch eigentlich nichts ungewöhnliches. Wir hängen fest :-(

Unsere Vermutung ist der Gateway Server. 

Falls ihr noch weitere Informationen braucht dann sagt Bescheid.

Vielen Dank.

Gruss Norman

Hallo liebe Gemeinde,

wir haben hier bei uns ein Merkwürdiges Phänomen welches ich mir nicht erklären kann. 

Ausgangslage:

• ESX 5.1
• virtuelles Fileserver Cluster (Microsoft Server 2012R2)
• VM Version 9
• RAW Disk 3,5TB

Kurios:

Wir haben die Platte von 3 auf 3,5 TB vergrössert doch der Windows Explorer stellt nur 3TB dar.

Woran kann das liegen. Erkannt wurde die richtige Grösse vom  Diskmanangement(siehe Screenshot).

Auf dem zweiten Knoten haben wir ebenfalls eine Platte mit über 3TB  und die wird richtig dargestellt!??

Ein schwenken hat nichts gebracht. Ebenso habe ich auch nichts in den Quoten Einstellungen gefunden.

Habt Ihr eine Idee???

Danke.

Gruss Norman 

Folgender Schritt hat gefehlt:

Leute viiiielen Dank.

Der Link von Nils beschreibt genau das Problem und die Lösung! 

Vielen Dank.

Tolles Forum.

Gruss Norman

Ich konnte keinen passenden Eintrag im Forum finden.

Hallo Nils,

ja das ist Node1. Der Datenträger taucht auf und ist in der "normalen" Explorer Ansicht auch zu sehen.

Nur wenn ich über das SQL Management Studio auf diesen Datenträger zugreifen will zeigt er ihn nicht an.

Das gesamte Cluster wurde schon komplett runtergefahren.

Habe mir jetzt eine Testumgebung aufgebaut mit der dieses Problem lösen möchte.

Hallo liebe Gemeinde,

wir haben hier bei uns folgendes Problem mit unserem SQL Server Cluster:

Infrastruktur:

• ESX 6.0 (Cluster)
• 2x SQL Server 2016 als VM
• Festplatten für das Cluster als RAW Disk eingebunden (Kompatibilitätsmodus: Physisch; SCSI-BUS: Physisch)

IST-Stand:

• funktionierendes SQL Cluster mit mehreren Platten(DB; LOG; TEMP; etc.)
   

Problem:

• wenn wir eine weitere Festplatte in das Cluster hinzufügen bekommen wir es in der SQL Umgebung(siehe Screenshot) nicht angezeigt

Wir haben die gleiche Formatierung genommen und ich kann einfach nicht den Grund finden. Ich hoffe Ihr könnt mir helfen.

Vielen Dank.

Norman

Hallo liebe Gemeinde,

ich denke wir haben nun das Problem gefunden.

Der Artikel ist zwar schon älter aber ich denke genau das war unser Problem.  Die Gruppen(USER; Creator Owner) und die dazugehörigen Rechte stimmen komplett überein.

Also müssen wir immer daran denken die NTFS Rechte nur über den Serverpfad und nicht über den DFS Pfad zu setzen.

Danke und schönes WE.

Hallo liebe Gemeinde,

wir habe ein Phänomen welches wir uns nicht erklären können. Aus irgendwelchen Gründen sind auf einigen Ordnern plötzlich folgende Gruppen berechtigt:

• BUILTIN\USERS (Read\Execute)  This folder, subfolders and files
• BUILTIN\USERS (Special (Create Files and Folders))  Subfolders and files only
• CREATOR OWNER (Full control) Subfolders and files only

Dies verursacht natürlich eine grosses Sicherheitsleck da plötzlich Nutzer Zugriff auf vertrauliche Daten haben. 

Wir arbeiten grundsätzlich nicht mit diesen Gruppen. Das komische ist das die Gruppen angeblich vom Parent-Ordner vererbt worden sind?? Wenn ich aber den übergeordneten Ordner überprüfe kann ich diese Gruppen nicht finden!!!

Unser Standard ist:

• Wir vererben nur Domain-Admins, lokale Administratoren und System
• zusätzliche Berechtigungen werden dann auf die betreffenden Ordner separat vergeben    

Bsp:

Fileserver:

• D:\Shares (Freigabe: Everyone(Full Control))
• NTFS:
  • Vererbung unterbrochen
  • SYSTEM (Full Control)
  • Domain Admins (Full Control)
  • BUILTIN\Administrators (Full Control) 
  • Domain Users (Read & Execute) This Folder only
• Zugriff über DFS Struktur
  • Einstellung: Use inherited permissions from the local file system
  • keine Replikation

Infrastruktur:

• Server 2012R2 (Cluster)
• DFS
• Nutzung von Volume Shadow Copy

Wir können uns einfach nicht erklären wo die Gruppen plötzlich herkommen. Ich hoffe ihr habt ein paar Ideen  

Vielen Dank.

Gruss Norman 

Hallo Nils,

kannst du mir denn da eine Richtung bzgl. 3Par Lösung nennen? Gibt es da eine Funktion die mir weiterhelfen könnte?

Danke.

Gruss Norman

Moin,

danke erstmal für eure Antworten. 

Ich werde mal bei Veeam nachfragen in wie weit dort dieses Thema aktuell bearbeitet wird.

Hat denn jemand schon aktiv Storage Replica im Einsatz? Wie sind hier die Erfahrungswerte?

P.s.: Unser Storage ist eine 3Par

Gruss Norman

Ist-Situation:

- Fileserver 2012 R2 im Cluster auf VMware ESX 6.0

- Datenmenge ca. 4-5TB (Deduplizierung ist aktiv) 

- Freigaben über DFS

- Backup mittels Veeam Endpoint Backup

Warum ein Wechsel?

- gesamte VM soll über Veeam Backup gesichert werden(*.vmdk) (alle Vorteile der Backuplösung sollen genutzt werden)

- Veeam Endpoint Backup ist eine sehr abgespeckte Variant(keine Möglichkeit mehrere Jobs zu definieren; langsam)

- Clusterdienste haben schon öfter den Dienst versagt (Bsp.: Server waren OK aber Freigaben waren erst nach einem Schwenk wieder erreichbar) 

Ziel:
 

- Hoch-verfügbare Fileserver

- kein RAW Device Mapping mehr

- Lastentrennung

- möglichst wenige Fehlerquellen

Es muss nicht die "Storge Replication" sein aber das was ich gelesen und gesehen habe sah schon gut aus(bis auf die doppelte Datenhaltung).

Danke für eure Tipps und Anregungen.

Gruss Norman

Hallo liebe Gemeinde,

habt Ihr schon Erfahrung sammeln können mit dem oben genannten Feature?

Mein Ziel ist, in einer VM Umgebung ein Fileserver Cluster abzulösen.

Hintergrund ist unter anderem die Nutzung von "Veeam Backup".

Zur Zeit kann ich leider nur Veeam Endpoint Backup nutzen da die Festplatten als RAW Device Mapping hinterlegt sind(Clusterlösung nur so realisierbar).    

Es ist mir schon klar, dass ich dann alle Daten doppelt vorhalte aber das wäre es mir wert.

Mir geht es vor allem um Stabilität, Performance und Redundanz.

Vielen Dank.

 Norman

....Beispiel: "im AD ... wird der Name alpha.zz angezeigt" - was heißt "im AD"?

- Active Directory Domains and Trusts

- Active Directory Users and Computers -> Change Domain....

 

 

Zudem wäre vor irgendwelchen weiteren Aktionen zu prüfen, ob nicht insgesamt evtl. eine Fehlkonfiguration vorliegt, die zu beheben ist.

Nach Auswertung von "DCDiag" sowie "AD Replication Status Tool" konnte ich keine Fehler feststellen.

Moin Nils,

erstmal Danke für dein schnelles Feedback.

Was genau passiert ist kann ich dir nicht sagen. 

Hintergrund:

- unsere Firma hat eine neue "Tochterfirma" gegründet

- die neue Firma hat Ihre eigene IT

- aufgrund von Exchange und Skype4Business haben wir uns für die Version entschieden deren neue Domain in unseren Forest zu installieren

- Installation findet über die IT der Tochterfirma statt (da ich an diesem Tag nicht anwesend sein konnte habe ich einen Benutzer bereitgestellt der es Ihnen ermöglicht die Installation ohne meine Hilfe vorzunehmen)

- nach meinem Urlaub tauchte dann nun der Domain-Name auf (nach Rücksprache mit der IT der Tochterfirma erzählten Sie mir, dass der erste Anlauf missglückt war)

Benötigst du genauere Informationen ab welchem Zeitpunkt bzw. ab welcher Stelle die Integration nicht geklappt hat?

Danke.

Gruss Norman