netelb 10 Geschrieben 14. April 2010 Melden Teilen Geschrieben 14. April 2010 Hallo Leute, nachdem ich hier nun schon viele gute Tips gefunden habe die mir nach unserem Servercrash echt weiter geholfen haben stehe ich nun vor einer Wand und komme einfach nicht weiter. Ich mußte zwei Server neu Aufsetzen: 1) Win SBS 2003 inkl. Exchange (192.168.1.250) 2) Win 2003 Server R2 inkl. terminalserver (192.168.1.251) Der SBS ist bei mir der PDC und den R2 habe ich als SDC konfiguriert. Er teilt sich also das AD mit dem SBS. Soweit so gut. Bis jetzt hat auch alles geklappt. Nur brauche ich jetzt für zwei user eine Remotedesktop verbindung. Und genau daran scheitert es jetzt. Ich habe beiden Benutzern die Gruppe "REMOTEDESKTOPBENUTZER" zugewisen. Die anmeldung am SBS geht einwandfrei. Leider sagt er mir immer wenn ich versuche am R2 anzumelden das die User nicht die nötigen Rechte hätten. Der Admin kann sich natürlich an beiden via remote anmelden. Das geht Einwandfrei. Er teilt sich doch aber die rechte mit dem SBS. Wie kann das denn dann sein ????????? Ich brauche die Zugänge wirklich dringend da die beiden User den Server brauchen um auf zwei Anwendungen zuzugreifen. Vielleicht hat ja einer eine Idee was mich weiterbringt. :confused: Lieber Gruß Netelb PS: Meine DNS Zonen habe ich gecheckt und es sieht eigentlich ganz gut aus. Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 14. April 2010 Melden Teilen Geschrieben 14. April 2010 Hallo und willkommen an Board Der SBS ist bei mir der PDC und den R2 habe ich als SDC konfiguriert.Er teilt sich also das AD mit dem SBS. Soweit so gut. Bis jetzt hat auch alles geklappt. Es gibt keinen PDC bzw. BDC mehr. Im AD sind die DC's gleichberechtigt. Kann es sein das du Terminaldienste und den adminstrativen Remotezugriff grade durcheinander wirfst? Gruß Zitieren Link zu diesem Kommentar
netelb 10 Geschrieben 14. April 2010 Autor Melden Teilen Geschrieben 14. April 2010 Ok ok . .Du hast ja recht. Ich mußte zulezt vor knapp 10 Jahren mich mit dem Thema beschäftigen. Also ich drücke mich mal anders aus: Mein SBS ist der Hauptserver (Primärer DC und AD) und mein R2 ist als Zusätslicher Domaincontroller angebunden. Und nein ich bringe nichts durcheinander. Das Problöem ist das die Server 4 Jahre liefen und nun überraschend neu gemacht werden musten. Ich habe leider keine Ahnung wo meine Cal´s vom Terminalserver sind und neu kaufen kommt nicht in Frage. Bis die also Aufgetaucht sind läuft der Zweite Server nur damit 2 Leute von extern ihn Applikations Server nutzen können. Doofe Lösung aber leider muss ich fügen. Es geht mir also ganz klar um den Remote Desktop Zugriff. Grüße Netelb PS: Oder gibt es eine andere Lösung wie ich den Leuten Datenzugriff sowie Office und Lexware stellen kann ? Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 14. April 2010 Melden Teilen Geschrieben 14. April 2010 Hallo. Es geht mir also ganz klar um den Remote Desktop Zugriff Das ist aber schlecht. Denn diese Zugriffe sind ausschließlich für administrative Arbeiten gedacht. Was du benötigst sind die Terminal Services (also hatte Necron doch recht) und das ist hier genau beschrieben - http://www.microsoft.com/downloads/details.aspx?familyid=0a06e845-57ef-43eb-802f-f274fd937400&displaylang=en Ich habe leider keine Ahnung wo meine Cal´s vom Terminalserver sind und Das ist ganz schlecht, denn wenn du die Terminaldienste neu aktivieren musst, benötigst du diese Lizenzen. neu kaufen kommt nicht in Frage Ohne gültige und vorhandene Lizenzen keinen Support, das dir wohl schon klar. LG Günther Zitieren Link zu diesem Kommentar
netelb 10 Geschrieben 14. April 2010 Autor Melden Teilen Geschrieben 14. April 2010 Hmmm schlecht .. Für die Server habe ich ja alle Lizensen. Nur halt das Ding für die Terminal Zugriffe nicht. Ok dann gehe ich das Problem jetzt mal anders an. Ich habe gelesen das es auch ohne Lizensen geht. Aber nur 120 Tage. Wenn ich jetzt Leute auf den Server lasse via Terminal dann gilt der Zugang 120 Tage wie im Netz steht. Aber kann ich den Server Nachlizenbsieren ohne alle Einstellungen zu verlieren ? Und die viel wichtigere Frage ist doch: Wo kriege ich 2003 Terminal Lizensen her ???? Bei microsoft gibt es nur noch 2008 er .. :-( gruß Netelb Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 14. April 2010 Melden Teilen Geschrieben 14. April 2010 Hallo. Aber kann ich den Server Nachlizenbsieren ohne alle Einstellungen zu verlieren ? JA Bei microsoft gibt es nur noch 2008 er .. :-( Du kannst sie auf W2003 downgraden. LG Günther Zitieren Link zu diesem Kommentar
netelb 10 Geschrieben 14. April 2010 Autor Melden Teilen Geschrieben 14. April 2010 Super ... Vielen Lieben Dank. Dann werde ich jetzt erstmal den T-Serv zu Ende einrichten. Und mir dann schleunigst ein paar neue Lizensen kaufen .. Vielen Dank für die Hilfe. Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 14. April 2010 Melden Teilen Geschrieben 14. April 2010 Bitte gerne geschehen :) Und nicht vergessen - http://MCSEboard.de in die Favoriten aufzunehmen ;) LG Günther Zitieren Link zu diesem Kommentar
BeraterIT 10 Geschrieben 14. April 2010 Melden Teilen Geschrieben 14. April 2010 Super ... Vielen Lieben Dank. Dann werde ich jetzt erstmal den T-Serv zu Ende einrichten. Und für den Fall, dass der TS noch kein DC ist, dann lass ihn Member-Server bleiben. Sollte er schon DC sein, so demote ihn wieder. Es ist nicht empfohlen und ausgesprochen unglücklich, einen DC zum TS zu machen. Schau mal hier rein: Terminal Server Installation On windows Domain Controller Für den Fall, dass ihr genau 2 Server habt, SBS2003 und W2K3 für die TS-Rolle, so empfehle ich nur einen DC (natürlich den SBS) zu betreiben und ein besseres Disaster-Recovery-Konzept oder einen 3. Server zum DC machen. Zitieren Link zu diesem Kommentar
netelb 10 Geschrieben 14. April 2010 Autor Melden Teilen Geschrieben 14. April 2010 Nochmals vielen Dank für die Informationen. Besonders dir BeraterIT .. Der Link war sehr aussagekräftig. Leider habe ich nicht die Zeit das Konzept komplett zu überarbeiten. das Problem ist an dem Server selbst hängen ebenfalls jede Menge Freigaben und deshalb würde ich den TS schon gerne als DC lassen. Ich habe jetzt mal den trick ausprobiert eine neue Gruppe aufzumachen und diese dem RDP-TCP hinzuzufügen. Leider kriege ich somit auch keinen Zugriff mit meinen Usern. Gibt es eine Möglichkeit die Freigaben vernünftig auf die User abzustimmen ohne AD ? Dann könnte ich ihn wieder zurück stufen. Lieber Gruß Netelb PS: Natürlich verlinke ich dieses Forum gerne auf einigen meiner Webseiten sowie in meinen Social Bookmarks... Ich finde es einfach toll wie schnell einem hier geholfen wird. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 14. April 2010 Melden Teilen Geschrieben 14. April 2010 Du kannst die im AD erzeugten Gruppen usw. natürlich auch auf einem Mitgliedsserver benutzen. Dafür muss er kein DC sein (Du hast ja noch den SBS, der das Active Directory zur Verfügung stellt). Wenn der TS kein DC mehr ist, dann reicht es, die TS-Benutzer,die in der Domäne angelegt wurden, der lokalen Gruppe Remotedesktopbenutzer auf dem TS! zuzufügen. Auf dem DC klappt die Anmeldung via Terminaldiensten nicht, weil ein Benutzerrecht anders eingestellt ist als auf einem Memberserver ... Zitieren Link zu diesem Kommentar
BeraterIT 10 Geschrieben 14. April 2010 Melden Teilen Geschrieben 14. April 2010 Ich habe jetzt mal den trick ausprobiert eine neue Gruppe aufzumachen und diese dem RDP-TCP hinzuzufügen. Leider kriege ich somit auch keinen Zugriff mit meinen Usern. Bzgl. der localen Anmeldung an einem DC schau hier rein: Allowing Terminal Server sessions to a Domain Controller Du musst dies in der Default Domain Controller Policy einrichten. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 14. April 2010 Melden Teilen Geschrieben 14. April 2010 Nein, muss er nicht und sollte er auch nicht. Damit erlaubt man den Zugriff ja auf alle DCs. Es sollte (und es ist auch dort eingestellt) in der lokalen Richtlinie des DCs gemacht werden. Es ist auch nicht das Recht "Logon locally" ... das war mal so bei 2000 Terminalservern ... Zitieren Link zu diesem Kommentar
BeraterIT 10 Geschrieben 14. April 2010 Melden Teilen Geschrieben 14. April 2010 Nein, muss er nicht und sollte er auch nicht. Er sollte dies nicht tun, stimmt. Ich habe auch schon viorher gepostet, warum. Damit erlaubt man den Zugriff ja auf alle DCs. Es sollte (und es ist auch dort eingestellt) in der lokalen Richtlinie des DCs gemacht werden. Es ist auch nicht das Recht "Logon locally" ... das war mal so bei 2000 Terminalservern ... IMHO wird die lokale Richtlinie auf dem DC von der DDCP überschrieben.:confused: Ich hatte so einen Fall, aber mit SBS-2003 und Server 2008 -> es ging nur über eine Richtlinie, die mit den Domain Controllern verknüpft war. Einzustellen war dies unter: Computer - Richtlinien - Windows einstellungen - Sicherheitseinstellungen - lokale Richtlinie/Zuweisen von Benutzerrechten lokal anmelden zulassen -> Benutzer auswählen Anmelden über Terminaldiesnte zulassen -> Benutzer auswählen (Das geht wohl auch über die Terminaldiensteverwaltung) Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 15. April 2010 Melden Teilen Geschrieben 15. April 2010 Er sollte es natürlich generell nicht auf einem DC machen. Aber wenn er es schon auf einem DC machen muss und es mehrere davon gibt, dann sollte er es nicht in der DDCP machen. Und das nicht gerade weil die DDCP die lokale Richtlinie überschreibt. In der lokalen Richtlinie wird per Default das Recht zum Anmelden via Terminaldienste definiert. Wenn ich das Recht in der DDCP anpasse, dann gilt das für ALLE DCs und man soll sich ja nur an einem DC/TS anmelden. Deswegen NICHT via Domänenrichtlinie, sondern via lokaler Richtlinie ... "Lokal anmelden zulassen" gilt für die interaktive Anmeldung am DC. Diese Anmeldung hat einen anderen Logontype als die Anmeldung via Terminaldiensten. Dieses Recht muss auf einem DC (ausser es ist ein 2000 DC) nicht angepasst werden. http://www.windowsecurity.com/articles/Logon-Types.html Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.