Jump to content

Remotedesktop Session Host und RemoteFX


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

im Zusammenhang mit Remotedesktop Session Host (Terminalserver) und RemoteFX habe ich Probleme, was ich nicht ganz verstehen. Folgende Umgebung.

 

Physische Server

- 3 Host Server 2016 Datacenter Build 14393 inkl. GPU AMD FirePro S7000.

Virtuelle Server, Server 2016 Standard Build 14393

- RD-SH01 und RD-SH02 (Remotedesktop-Sitzungshost installiert), RemoteFX-3D Graffikkarte wurde hinzugefügt

- RD-V (Verbindungsbroker und Lizenzserver)

- RDWA (Web Access für RD)

 

Alles wurde soweit über die Remotedesktopdienste konfiguriert. Sammlung erstellt, ohne Benutzerprofil-Datenträger! DNS RR Eintrag "RDS" (IP´s der RD-SH01,RD-SH02).

Zertifikate wurden erstmal nicht konfiguriert!

 

Das Problem ist jetzt, verbinde ich "User1" mich jetzt über den DNS Eintrag "RDS", werde ich am "RD-SH01" angemeldet. Der nächste User2 der sich über "RDS" anmeldet, meldet sich an RD-SH02 an.

Der Dritte User3 will sich anmelden, wird weitergeleitet an RD-SH01 wo auch der "User1" angemeldet ist und der "User" erhält am Remotedesktop die Info:

Remotedesktopverbindung

Darf Domäne\User3 eine Verbindung mit dem Computer herstellen?

Klicken Sie auf "OK", um die Sitzung sofort zu trennen, oder klicken Sie auf "Abbrechen", um verbunden zu bleiben.

Wird keine aktion durchgeführt, wird die Sitzung in 30 Sekunden getrennt.

 

Das heißt, sobald sich ein zweiter User sich an einem Remotedesktop anmelden möchte, erhält der erste User die oben genannte Info. Mehrere User können sich somit nicht einloggen. Immer nur einer! Als wäre es ein Desktop Rechner, wo sich immer nur ein User anmelden kann. Dies ist es ja nicht, da hier auf beiden Server RD-SH01 und RD-SH02 die Rolle Remotedesktop-Sitzungshost installiert ist.

 

Testweise habe ich mal auf beiden RD-SH Server die RemoteFX Karte entfernt. Und  siehe da, jetzt können sich auch mehrere User am RD-SH anmelden. Wieso?

Ich möchte doch gerne die RemoteFX Funktion nutzen, da wir mehrere Standorte haben. Füge ich die RemoteFX Grafikkarte wieder hinzu, geht es wieder nicht. Wieso können sich mehrere User nicht anmelden, sobald ich die Remote-FX Graffikarte für die virtuellen Maschine hinzufüge?

Habe ich was übersehen?

zusätzlich habe ich auf den beiden RD-SH die GPO eingestellt: Computerkonfiguration -> Administrative Vorlage -> Windows-Komponenten->Remotedesktopdienste->Umgebung für Remotesitzung -> RemoteFX für WS2008R2 -"RemoteFX konfigurieren" ->aktiviert

http://2x.helpserve.com/knowledgebase/article/View/233/10/how-to-enable-and-configure-remote-fx

 

Habe ich ggf. noch was vergessen?

Vielen Dank.

 

 

Link zu diesem Kommentar

Ok, Danke.

Habe es wie angegeben, den DNS Eintrag als Sammelnamen mit der IP vom Broker eingerichtet, Registry Eintrag im Broker erstellt, RDP-Client mit Erweiterung, wie du es angegeben hast. Klappt bis jetzt.

Nur mir ist jetzt aufgefallen, dass für die Remotedesktopdienste nicht die Servergespeicherten Benutzerprofile für Remotedesktopdienste (AD-Reiter "Remotedesktopdienste-Profil") benutzt wird, sondern das Benutzerprofil (AD-Reiter "Profil"), was eigentlich für die Clients ist.

Musst das beachtet werden?

https://social.technet.microsoft.com/Forums/de-DE/c0a69795-df36-4466-857c-84acb594bab4/rds-profiles-not-roaming-on-2016-servers-when-using-ad-profile-setting-but-works-with-gpo?forum=winserverTS

 

 

Das selbe gilt auch für die GPO´s. Habe eine OU eingerichtet, was nur für diese RD-SH gelten soll mit den Remotedesktopusern, als Loopback, dies wird nicht benutzt, sondern es werden die GPO´s für die Clients benutzt.

Folgende Schritte bin ich nochmal durchgegangen:

https://www.gruppenrichtlinien.de/artikel/remote-desktop-server-terminal-server/

 

Kann dies auch am DC liegen?

DC 1: Server 2008 R2 (Betriebsmaster, PDC) 

DC 2: Server 2016 Standard

 

Danke.

Link zu diesem Kommentar

Hi,

 

ja. Ab 2016 muss der Regkey aus dem von dir verlinkten Artikel gesetzt werden. Ich würde es aber bevorzugen diese Dinge per GPO zu konfigurieren.

 

In welcher OU befindet sich denn der bzw. die RDSH?

Mit welcher OU wurde das GPO verknüpft?

Loopback Replace oder Merge?

 

Gruß

Jan

 

P.S.: Den Reg Eintrag am Broker brauchst du nicht. Wie im anderen Thread beschrieben, ist das nur ein Würgaround.

 

Link zu diesem Kommentar

Morgen,

 

danke für die Rückmeldung.

Habe eine OU "RDSm16" angelegt. In dieser sind auch die beiden RDSH Server. Habe dann zwei GPO´s eingerichtet RDSM16-ComputerPolicy und RDSM16-UserPolicy. In der ComputerPolicy habe ich den Loopback auf Replace erstmal gesetzt, so habe ich es auch auf den RDS 2008 Servern gemacht!

Habe dann eine Gruppe angelegt, die auf den RDSH Server zugreifen dürfen und mit den beiden Policy in der Delegierung eingefügt mit der jeweiligen Lese und Gruppenrichtlinie Berechtigung.

 

gpresult /r Meldung

Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
    ----------------------------------------------------------------------
        RDSm16-ComputerPolicy
            Filterung:  Verweigert (Sicherheit)

bearbeitet von ejder178
Link zu diesem Kommentar
Abgelehnte Gruppenrichtlinienobjekte

RDSm16-ComputerPolicy 

Verknüpfungsort Domäne.local/RDSm16 
Konfigurierte Erweiterungen Security
Registrierung 
Erzwungen Nein 
Deaktiviert Keine 
Sicherheitsfilter Domäne\RDSm16 
Revision AD (2), SYSVOL (65535) 
WMI-Filter   
Grund: abgelehnt Zugriff verweigert (Sicherheitsfilterung) 

mein RDSm16-BenutzerPolicy wird garnicht aufgelistet.

Neustart habe ich auch schon durchgeführt. Jap, beide RDSH-Server dürfen das GPO lesen und übernehmen.

Muss ich was in den jeweiligen GPO Policy unter dem Reiter "Details" -> Objektstatus beachten? Zur Zeit auf Aktiviert.

Link zu diesem Kommentar

Ich habe jetzt alles mögliche versucht! Neue Sicherheitsgruppen erstellt, neue GPO´s etc. leider nein.

In der OU "RDSm16" sind nur die zwei RDS Server RD-SH01 und RD-SH02.

Wenn ich für die Authentifizierte Benutzer die Berechtigung "Gruppenrichtlinie übernehmen" also alles auf Standard lasse, dann geht es ja, aber diese Einstellung wird dann für alle also auch für Administratoren übernommen.

 

Ich weiß nicht mehr weiter...

 

Link zu diesem Kommentar

Dann verweigere den Dom-Admins bzw. der Administratorengruppe das Übernehmen.

Die schönere Alternative wäre in den Sicherheitseinstellungen Authentifizierte Benutzer entfernen und den Benutzern bzw. der Gruppe mit den Benutzern sowie die Computerkonten bzw. der Gruppe mit den Computerkonten (RD-SH01 und RD-SH02) zu berechtigen das GPO zu lesen und zu übernehmen.

Link zu diesem Kommentar
  • 3 Wochen später...

 

Hallo und Danke nochmal für die Unterstützung.

Ich habe es jetzt soweit angepasst. Alles nochmal neu angelegt! Funktioniert auch.

Einige GPO/GPP´s sind auch angelegt. Ich habe noch zwei Sachen, was ich nicht umsetzten kann!

1. Ich möchte nicht, dass die User (außer Admin) die Window-Einstellung öffnen und alle Optionen anschauen/anpassen können. Es soll die Möglichkeit geben, dass z. B. die User nur auf Personalisierung zugreifen können! Hier gibt es eine Beschreibung, leider funktioniert es nicht!

WindowsEinstellung.thumb.JPG.6cdfc9f9f6b2fa5f3bedd5469e749a5c.JPG

https://social.technet.microsoft.com/Forums/de-DE/b96cc58d-a6f5-4621-a35e-e9e230a45a99/disable-windows-10-settings-but-keep-some-control-panel-items?forum=win10itprosetup

 

2. Es wurde Servergespeichertes Profil (Roaming) aktiviert. Wenn sich jetzt z. B. User1 zum ersten mal auf dem RD-SH01 anmeldet, erhält er alle Verknüpfungen, Symbole etc.

1.ProfilAnmeldung.thumb.JPG.1942b123bc383c9791b3f5e4452a41bf.JPG

Meldet der User1 sich ab und wird dann vom Broker auf den zweiten RD-SH02 zugewiesen, sind zwar die Desktopverknüpfungen etc. zu sehen, aber das Startlayout (der rechte Abschnitt) und die Verknüpfungen "Meistverwendet" sind weg!

2.Anmeldung.thumb.JPG.cc644372b22c21aba4a683bbc15ba570.JPG

 

Meldet sich der User1 auf dem RD-SH01 wieder an, ist das Startlayout wieder da.

Wird dieser Bereicht nicht im AppData/Roaming/Mirosoft/ abgespeichert? Wird das Startlayout nur lokal gespeichert?

Kann man dies anpassen, das es auch als Roaming mit abgespeichert wird und auf allen RDSH Servern mit synchonisiert wird? Vielen Dank.

 

Link zu diesem Kommentar

Hi ejder178,

 

zu 1. das geht leider nur unter aktuelleren Windows 10 Builds aber nicht auf Windows Server 2016.

 

Workaround: Entzug der NTFS-Rechte für User auf "C:\Windows\ImmersiveControlPanel\SystemSettings.exe" per GPO.

Windows-Einstellungen/Sicherheitseinstellungen/Dateisystem (Admins explizite Rechte erteilen, Usern die Rechte entfernen).

 

Nachteil User können auch Hintergrundbild und co. nicht ändern, jedoch ist der Zugriff auf das Update-Panel durch die User nicht tragbar für uns, daher sperren wir dies auf Session Hosts über den Workaround immer.

 

zu 2. Hm naja mir kommt da der Gedanke warum User Profile Disks nicht zum tragen kamen in der Umgebung?

 

Gruß Gadget

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...