Attack44 2 Geschrieben 21. Juni 2019 Melden Teilen Geschrieben 21. Juni 2019 (bearbeitet) Hallo, ich bin dabei eine neue Terminalserver Farm mit Windows Server 2016 aufzubauen, in diesem Zuge lassen sich ja die RemoteApps nun über einen Browser aufrufen/ausführen. Wir möchten jetzt aber nicht unbedingt, dass der Nutzer sein Browser öffnen muss um die RemoteApps auszuführen. Es gibt ja die Möglichkeit bei den Clients (in unserem Fall alles Windows 10 1809) in der Systemsteuerung unter "RemoteApp- und Desktopverbindungen" einen Feed einzutragen um die verfügbaren RemoteApps im Startmenü anzeigen zu lassen. Soweit, so gut, nun habe ich aber das Problem, dass ich den Feed nicht mittels GPO bei den Clients eingetragen bekomme, ein SSO ist eigentlich eingerichtet, wenn ich "https://contoso.com/rdweb/" im Chrome oder Internet Explorer aufrufe, habe ich ohne nochmalige Anmeldung Zugriff auf die RemoteApps und kann sie starten. Wenn ich jetzt aber z.B. die Feed URL "https://contoso.com/rdweb/feed/webfeed.aspx" unter "RemoteApp- und Desktopverbindungen" händisch eintrage, erscheint die Login Maske mit der Info, dass der Benutzername/Kennwort falsch sei, dann trage ich nochmal die Anmeldedaten ein und er richtet die Verbindung ein. U.a. hatte ich mich durch folgende Anleitungen durchgearbeitet: https://nedimmehic.org/2017/11/20/remote-desktop-services-2016-standard-deployment-part-4-rd-web-access-part4-sso-high-availability/ https://www.concurrency.com/blog/w/how-to-deliver-remoteapps-from-windows-server-2012 Hat einen Vorschlag wo das Problem liegen könnte? Vielen Dank. Andreas bearbeitet 21. Juni 2019 von Attack44 Zitieren Link zu diesem Kommentar
Sunny61 772 Geschrieben 21. Juni 2019 Melden Teilen Geschrieben 21. Juni 2019 Die User müssen natürlich auch beim Connection Broker als erlaubte User/Gruppe eingetragen sein. Hast Du die Terminalserver und Connection Broker per GPO freigegeben? Delegierung von Standardanmeldeinformationen zulassen heißt die Einstellung. In welcher Einstellung hast Du den Feed eingetragen? Probiere auch mal eine andere W10 Version aus, mit der 1703 ging es nur als Admin, bei der 1803 funktioniert es auch als User. Zitieren Link zu diesem Kommentar
Attack44 2 Geschrieben 21. Juni 2019 Autor Melden Teilen Geschrieben 21. Juni 2019 (bearbeitet) Meinst Du mit der erlaubten Gruppe/User unter Systemeingenschaften -> Remote -> Remotedesktop? Im Sitzungshost habe ich die entsprechenden Gruppen hinterlegt, beim Connection Broker nicht bzw. mal getestet und dann wieder rausgenommen. Die "Delegierung von Standardanmeldeinformationen" habe ich aktuell zum Test so eingestellt (siehe Bild), ich hatte zuvor auch die anderen Einstellungen aktiviert/zugefallen die dort zur Verfügung standen, leider ohne Erfolg. Den Feed habe ich unter "Benutzerkonfiguration/Windows-Komponenten/Remotedesktopdienste/RemoteApp- und Desktopverbindungen" hinterlegt. Ich habe hier aktuell nur W10 1809 zur Verfügung, wo es später auch funktionieren soll. In der Ereignisanzeige ist auch folgender Fehler abgelegt (siehe Foto), aber wie gesagt, kopiere ich mir die URL z.B. aus der Ereignisanzeige und trage sie unter "RemoteApp- und Desktopverbindungen" ein, erhalte ich darauf ein eine Anmeldemaske mit der Info das der/das Benutzername/Passwort falsch ist, gebe ich drauf meine Logindaten ein, wird alles erfolgreich eingerichtet. bearbeitet 21. Juni 2019 von Attack44 Zitieren Link zu diesem Kommentar
Sunny61 772 Geschrieben 21. Juni 2019 Melden Teilen Geschrieben 21. Juni 2019 Such auf dieser Seite nach Standardverbindungs URL: https://www.windowspro.de/wolfgang-sommergut/remoteapp-von-windows-server-2012-r2-auf-windows-78x-verteilen Dort die URL des Connection Brokers eintragen. Das ist eine User-GPO! Und ja, natürlich müssen die User beim Connection Broker eingetragen sein, wie sollen sie sonst irgendwas dürfen? Du brauchst mind. 1 Sammlung mit mind. 1 Programm, auf diese Sammlung müssen die User Zugriff haben. Eigenschaften der Sammlung > Benutzergruppen. Trag zum Test den User direkt ein. https://www.windowspro.de/wolfgang-sommergut/sammlungen-collections-fuer-terminal-server-2012-einrichten-konfigurieren https://www.windowspro.de/wolfgang-sommergut/remoteapp-veroeffentlichen-unter-windows-server-2012-r2 Zitieren Link zu diesem Kommentar
Attack44 2 Geschrieben 21. Juni 2019 Autor Melden Teilen Geschrieben 21. Juni 2019 Die Standardverbindungs URL ist wie schon oben geschrieben in der Benutzerkonfiguration hinterlegt und zeigt auf den Server wo Web Access Rolle installiert ist, der Connection Broker hostet ja den Feed nicht, zumindest ist das jetzt meine Auffassung. Ach so, Du meinst die Sammlung, ja dort sind die entsprechenden User hinterlegt/berechtigt und Apps gibt es auch schon. Ich kann sie ja aus dem Browser per SSO starten und verwenden. Zitieren Link zu diesem Kommentar
Sunny61 772 Geschrieben 21. Juni 2019 Melden Teilen Geschrieben 21. Juni 2019 Welche Sicherheitseinstellungen hast Du in der Sammlung konfiguriert? Ist der Testuser Admin? Falls nein, probiere es mit einem Admin. Wie ich schon schrub, in der 1703 gab es einen Bug, dort konnte die URL als User nicht automatisiert hinzugefügt werden, nur als Admin. Falls das in der 1809 auch so ist, musst Du eine andere W10 Version verwenden. Alternativ ein W8.1 zum Test. Zitieren Link zu diesem Kommentar
Attack44 2 Geschrieben 21. Juni 2019 Autor Melden Teilen Geschrieben 21. Juni 2019 Die Sicherheitseinstellungen sind so wie bei Dir im Bild eingestellt, ich hatte mal bei Sicherheitsstufe auf "Aushandeln" festgelegt, aber das hatte keine Auswirkung. Ja, der Testuser ist Admin. Hm dann schaue ich mal nach einem Win10 1803 wie es sich da verhält. Zitieren Link zu diesem Kommentar
Sunny61 772 Geschrieben 21. Juni 2019 Melden Teilen Geschrieben 21. Juni 2019 Hast Du denn auch ein Zertifikat erzeugt/importiert? https://social.technet.microsoft.com/Forums/ie/en-US/023bbb37-94e7-4ea2-a3b7-f885bb0f02e3/remoteapp-desktop-connection-deployment-in-2012-error-1004?forum=winserverTS Zitieren Link zu diesem Kommentar
Attack44 2 Geschrieben 21. Juni 2019 Autor Melden Teilen Geschrieben 21. Juni 2019 (bearbeitet) vorhergehende vor 13 Minuten schrieb Sunny61: Hast Du denn auch ein Zertifikat erzeugt/importiert? https://social.technet.microsoft.com/Forums/ie/en-US/023bbb37-94e7-4ea2-a3b7-f885bb0f02e3/remoteapp-desktop-connection-deployment-in-2012-error-1004?forum=winserverTS Ja habe ich, mit allem was man denke ich so macht, auch mit diesen SHA1-Zertifikatfingerabdrücken. Zuvor wo das Zertifikat noch nicht vorhanden war, konnte ich die Einrichtung unter RemoteApp- und Desktopverbindungen auch nicht abschließen, jetzt geht es ja, nur halt händisch. P.S. Auch wenn ich z.B. in der Anmeldemaske beim Anlegen des Feeds auf Anmeldedaten speichern klicke und es danach nochmal hinzufüge (nach vorhergenden entfernen), kommt als erstes die Meldung, dass die Anmeldedaten falsch sein (obwohl nun was unter Systemsteuerung -> Anmeldeinformationsverwaltung hinterlegt wurde). bearbeitet 21. Juni 2019 von Attack44 Zitieren Link zu diesem Kommentar
Sunny61 772 Geschrieben 21. Juni 2019 Melden Teilen Geschrieben 21. Juni 2019 Probier es mit einer anderen W10 Version. Mit der 1803 funktioniert es bei mir. Zitieren Link zu diesem Kommentar
Attack44 2 Geschrieben 21. Juni 2019 Autor Melden Teilen Geschrieben 21. Juni 2019 vor 5 Minuten schrieb Sunny61: Probier es mit einer anderen W10 Version. Mit der 1803 funktioniert es bei mir. Bei mir nicht, ich habe hier jetzt ein neues 1803 System, endet leider mit derselben Fehlermeldung. Zitieren Link zu diesem Kommentar
Sunny61 772 Geschrieben 21. Juni 2019 Melden Teilen Geschrieben 21. Juni 2019 Dann ist was anderes faul. Irgendwelche Hinweise im Log? Ist das ein nacktes blankes W10? Keine weiteren Programme installiert? Nichts im Autostart? Das letzte CU ist installiert? Leg doch mal eine neue OU an, deaktiviere die Vererbung von oben. Verschieb den Client und den User in die OU, verlinke die nötigen GPOs auf die OU, starte zweimal neu und melde dich mit dem Nichtadmin User an. Was passiert? Zitieren Link zu diesem Kommentar
Attack44 2 Geschrieben 24. Juni 2019 Autor Melden Teilen Geschrieben 24. Juni 2019 Ich hatte zum Test ein nacktes W10 1803 verwendet, der Client und der User waren in einer OU ohne Vererbung, genau das gleiche Spiel wie bei den anderen Clients/Versuchen. Es erscheint die Anmeldemaske mit der Info das die Anmeldedaten falsch sein. Es erscheint mir so, dass wenn ich auf die URL über "RemoteApp- und Desktopverbindungen" zugreife, er die Anmeldedaten nicht weitergibt. Ich habe mal versucht, den Netzwerkverkehr zwischen Client und Server mitzuschneiden, wenn ich die URL/Feed über den Browser aufrufe, kommt folgende Meldung: 401 - Nicht autorisiert: Zugriff aufgrund ungültiger Anmeldeinformationen verweigert. Die angegebenen Anmeldeinformationen berechtigen Sie nicht, dieses Verzeichnis oder diese Seite anzuzeigen. Und ddarauf folgt die Meldung dass ein Login erfolgt ist (über den Brwoser), gehe ich nun über "RemoteApp- und Desktopverbindungen" erscheint die obrige Fehlermeldung auch, aber es passiert nichts weiter (Anmeldemaske ist ja nun auf). Zitieren Link zu diesem Kommentar
Attack44 2 Geschrieben 24. Juni 2019 Autor Melden Teilen Geschrieben 24. Juni 2019 So, das Problem ist jetzt nun "halb" gelöst, ich habe in der IIS Konfiguration noch etwas angepasst bzw. etwas aktiviert (siehe Anhang), nun kann ich unter "RemoteApp- und Desktopverbindungen" den Feed ohne Fehlermeldung/Passworteingabe hinzufügen. Aber aktuell habe ich noch das Problem, dass ich den Feed über die GPO nicht eingetragen bekomme, es wird folgender Fehler im Ereignisreicher abgelegt (siehe Anhang). Zitieren Link zu diesem Kommentar
Sunny61 772 Geschrieben 24. Juni 2019 Melden Teilen Geschrieben 24. Juni 2019 Hmm, sehr komisch. Ich musste gar nichts irgendwo ändern, weder im IIS noch sonstwo. Da kann ich dir nicht mehr weiter helfen. Wenn ihr die Möglichkeit habt, dann eröffne bei MSFT ein Ticket. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.