ChrisF007

Hallo, So langsam explodiert mein Kopf wegen folgendem Problem: Für eine von uns entwickelte WebAnwendung verwenden wir ADFS zur Anmeldung. Jetzt wollen wir einem Kunden Zugriff darauf geben und nutzen einen Federation Trust zwischen seiner und unserer Domain. Soweit so gut... Da wir für die Anmeldung an der Anwendung noch spezielle Attribute benötigen, nutzen wir Shadow Accounts bei uns. Dazu mappen wir die Mail aus seiner Domäne auf einen Shadow Nutzer bei uns. Das funktioniert per folgender Claim Regel im Federation Trust: c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"] => issue(store = "Active Directory", types = ("NAMEID"), query = "mail={0};employeeNumber;DOMAIN\sa_adfs$", param = c.Value); Er findet einen Nutzer mit derselben Mail und gibt das AD Attribute EmployeeNumber aus. Jetzt gibt es aber auch Nutzer beim Kunden ohne Mail. Daher wollen wir final den SAMAccountNamen nutzen um entsprechend ein "unique" Attribut zum Matchen zu haben. In meiner Naivität dachte ich, dass das ja analog zur oberen Regel folgendermaßen funktionieren sollte: c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(store = "Active Directory", types = ("NAMEID"), query = "sAMAccountName={0};employeeNumber;DOMAIN\sa_adfs$", param = c.Value); Tut es nur leider nicht. Weiß jemand, wo mein Denkfehler liegt? Danke, Chris

Moin an alle, die heute auch schuften müssen :D Wir nutzen für unsere Cloud eine komplette RDS Umgebung. D.h. inklusive RD WebAccess und RDS Gateway um Kunden zu verbinden. Soweit alles prima. Jetzt haben wir den ersten Kunden, der per Trust mit seinen Konten sich verbinden möchte. Dafür haben wir einen selective Outgoing Trust zu seiner Domäne aufgebaut. Per Domain Lokaler Gruppe haben wir eine Sicherheitsgruppe aus seiner Domäne für unsere Terminal Server freigeschaltet. Das funktioniert auch prima. Nutzer die über eine VPN verbunden sind, können sich also per RDP anmelden. Jetzt kommt die Schwierigkeit: Wir bekommen diese Nutzer nicht über das RDS Gateway auf den Terminal Server. Soweit ich gelesen habe, ist dafür ein Two Way Trust erforderlich. Ist das die einzige Möglichkeit das RDS Gateway zu überreden, Nutzer aus der Kundendomain zu authentifizieren? Das ist (erstmal) aus Kundensicht nicht gewünscht. Sofern es aber kein andere Möglichkeit gibt, muss ich mit der IT des Kunden in den Infight gehen ;-) Eventuell stand ja schon mal jemand vor diesem Problem und hat ein paar Tipps oder Ratschläge. Danke, Chris

Hallo an die Experten :) Wir stehen hier gerade vor einer Herausforderung. Folgende Konstellation: Wir betreiben eine Anwendung bei AWS. Das Ganze ist recht klassisch. Eigenes AD und eine komplette RDS Umgebung inklusive Web-Access für Kunden. Bisher waren dort eher kleine Kunden unterwegs, die mit Accounts aus dem dortigen AD gearbeitet haben Nun bekommen wir einen neuen und recht großen Kunden dazu. Dieser möchte die Accounts aus seinem AD nutzen. Soweit so gut... Das wäre bis hierhin erst mal mit einem klassischen Trust möglich. Allerdings ist das AD des Kunden ein Azure Active Directory. Und da gehen bis dato keine Trusts. Jetzt die Frage... kann ich ADFS nutzen? Für den RD Web-Access stelle ich mir das noch recht simpel vor. Aber würde das auch für Anmeldung an den RD-Session Hosts gelten? Danke und Grüße, Chris

Firewall kann es hierbei ja nicht sein. Wir kapseln mit Easy Print ja innerhalb von 3389. MS wollte mir nicht helfen. a) gibt es keinen Fehler und b) unterstützt der professional Support keine Erst-Konfiguration. Wenn ich als nicht bereit bin, den Premier-Support zu nutzen, kann mir niemand dort weiterhelfen. Bin bedient... /edit Hab jetzt ein sauberes Image aus dem Licensing Center gezogen und installiert. Dazu die aktuelle VMWare Tools Version drauf gepackt... konfiguriert, getestet und... Läuft! D.h. dass das IBM Image, was wir bekommen haben, irgendwo ne Meise haben muss. Zumindest hab ich jetzt ne funktionierende Vorlage zum Clonen der Server :) Wochenende ist gerettet ^^

Natürlich. Anforderungen sind alle erfüllt. Das Druckermapping ist natürlich ebenfalls erlaubt. Getestet sowohl per Setting in der Session Collection als auch per GPO. Jedesmal das gleiche Ergebnis. Testweise Easy Print mal deaktiviert und mit installiertem Treiber getestet... Ebenfalls kein Glück. Im Technet können sie mir auch nicht weiterhelfen... Alle Windows Updates installiert. Ebenfalls kein Glück. Einzige Fehlerquelle die ich noch sehe ist die Version des Easy Print Treibers. Der ist auf unserer IBM Umgebung älter als bei Amazon. Aber auch die Windows Updates haben daran nichts geändert. Ich mach dann mal einen Call bei MS auf. Ich berichte dann...

Moin, Clients sind Windows 7. RDP Version ist 6.2. Die Drucker sind meist Netzwerkdrucker. Das interessante ist, dass die Ports für die Drucker gemappt werden: Aber eben ohne Treiber... Im Eventlog gibt es absolute Stille was Printer oder Easy Print Meldungen angeht. Gibt es da vielleicht noch irgendeinen Debug-Modus den ich anschalten kann um den gesamten Logon Prozess im RDS zu verfolgen? Grüße, Chris

Wir hosten die Farm für einen Kunden. Der hat ca. 800 Nutzer verteilt über x-dutzende Standorte mit einem unglaublichen Wildwuchs an Druckern. Die Daten alle handisch zu erfassen und entsprechend die Treiber zu installieren wäre eine monatelange Arbeit. Also quasi sind wir prädestiniert für den Einsatz von Easy Print. Und unter 2008 hatten wir nicht ein einziges Problem in Jahren damit... Darum ist es so extrem ärgerlich, dass es mit 2012 jetzt nicht mehr läuft. Ich hab auch testweise mal eine 2012 R2 Umgebung unter Amazon EC2 aufgebaut... Lief tadellos... Drucker wurden sofort und ohne irgendwelche Tricks und Kniffe gemappt. Es muss also prinzipiell gehen. Ich hab zwischen den beiden Umgebungen noch einen stark variierenden Patch-Stand festgestellt. Das versuche ich mal als erstes grade zu ziehen. Aber viel Hoffnung, dass ausgerechnet das die Lösung bringt hab ich nicht. Ich freunde mich mit dem Gedanken eines Rollbacks an...

Wobei im von dir genannten Thread es ja um gemappte Drucker und Printserver geht. Das ist es ja genau, was ich nicht mache. Und auch gar nicht könnte. Ich muss zwingend Easy Print verwenden. Und in der Mitte steht auch, dass jemand aus Verzweiflung zu Easy Print gewechselt ist. Es scheint also möglich zu sein.

Ich verwende Easy-Print... Oder vielmehr möchte es ;-) Daher auch keine Treiber nötig. Lief wie gesagt mit der identischen 2008er Umgebung perfekt...

Moin liebe Foristen, Ich bin jetzt langsam mit meinem Latein am Ende... Ausgangssituation ist folgende: Wir haben eine prima funktionierende 2008R2 Terminal Server Landschaft, bei der auch das Printer Redirecting wunderbar funktioniert. Wir haben eine parallele 2012 R2 Umgebung und mit exakt gleichen Einstellungen funktioniert das nicht mehr. Ich habe folgendes versucht: Setzen der Einstellungen zum Printer Redirect per GPO -> Kein Erfolg Ohne GPOs direkt in der Session Collection -> kein Erfolg Installation der Print Service Rolle -> kein Erfolg Es wird einfach kein Printer gemappt. Im RDP Client ist soweit auch alles eingestellt. Das Event Log ist absolut still. Da wird nicht ein einzige Nachricht gemappt außer dass der XPS Drucker zum Standard-Drucker gemacht wird bei Anmeldung. Clipboard und Drive Redirection funktioniert einwandfrei... Habt ihr noch eine Idee, wo ich noch schauen könnte? Google hab ich auch schon rauf und runter, aber nix brauchbares dabei. Danke und Grüße, Chris

Huch... Das geht also auch mit 2003... Sehr schön. Ich hatte immer nur gelesen, dass die 417 fürs Upgrade von 2008 auf 2012 genutzt werden kann. Das sind ja gute Neuigkeiten. Vielen Dank!

Moin, Der Thread-Titel verrät es ja schon und ich befürchte auch die Antwort zu kennen ;-) Aber gibt es überhaupt noch Upgrade Pfade für 2003er Zertifizierungen? Egal ob über 2008 als Zwischenschritt oder direkt. Danke und Grüße, Chris

Hallo Jan, Vielen Dank. Das sieht recht interessant aus. ich schau mir das mal an. Grüße, Christian

Hallo, Vielleicht seh ich den Wald vor lauter Bäumen nicht... Aber gibt es eine Möglichkeit Remote Apps den Zugriff auf lokale Programme zu ermöglichen? Frage unserer Entwickler: Wir haben unsere Standard-Anwendung auf einem Terminal Server laufen. Als neues Feature soll per klick eine Email erstellt oder eine Telefonnummer angerufen werden. Auf dem Terminal Server haben wir diese Anwendungen natürlich nicht (z.B. Outlook). Nun ist die Frage, ob es überhaupt möglich ist, dass die App auf die lokalen Programme zugreifen könnte? Mir fällt nix ein und google liefert mir auch nicht wirklich was... Grüße, Chris

Hallo, Unser Kunde stellt uns folgende Aufgabe: Wir haben eine TS Farm, die aktuell noch mit 2008 R2 läuft und Ende des Jahres auf 2012 R2 umgestellt wird. Aktuell haben wir per GPO konfiguriert, dass jeder User nur eine Session haben darf. Jetzt möchte der Kunde allerdings einer bestimmten Gruppe von Usern das Recht geben, mehr als eine Session zu haben, während die restlichen User weiterhin auf eine Session beschränkt sind. In 2008 R2 würde ich das über einen zusätzlichen RDS Listener lösen. Also eine zusätzliche virtuelle IP vergeben und den 2. RDP Listener da draufhängen. In 2012R2 scheint dass durch die fehlende RDS Listener Konfiguration schon schwieriger zu werden. Session Collection fällt auch flach. Da kann ich jeden Server ja nur genau einer Collection zuweisen und mehrfachanmeldungen werden in der Collection auch nicht vereinbart... Wie würdet ihr das Problem lösen? Bin für jede Idee dankbar! Grüße, Chris