9
Doppelte Anmeldung bei Windows Server 2012R2 in RDS
Einen schönen guten Morgen zusammen,
aktuell stehe ich vor einem Fragezeichen in unserer RDS Farm - wir haben die Konstellation SRV-LIC1, SRV-TS1, SRV-TS2, SRV-TS3, SRV-TS5 - das sind unsere Terminal Server. Unser Session Broker ist (noch) auf dem SRV-TS1 installiert (kommt da aber bald runter).
Nun haben wir bei einigen Clients, dass Problem, dass wenn Sie sich anmelden wollen, sich doppelt anmelden müssen. Stichwort ist hier eigentlich "User Credentials Delegation in NTLM" - dachte ich auch. Habe ich eingestellt, funktioniert aber nicht wirklich. Ich habe es auf allen SRV-TS* Servern eingestellt. Die Einstellungen wurden, sowie Microsoft good2go sagt, eingestellt. Anschließend natürlich ein gpupdate /force durchgeführt. Hat noch jemand eine Idee, wieso es nicht zieht?
Besten Dank
Toorms
aktuell stehe ich vor einem Fragezeichen in unserer RDS Farm - wir haben die Konstellation SRV-LIC1, SRV-TS1, SRV-TS2, SRV-TS3, SRV-TS5 - das sind unsere Terminal Server. Unser Session Broker ist (noch) auf dem SRV-TS1 installiert (kommt da aber bald runter).
Nun haben wir bei einigen Clients, dass Problem, dass wenn Sie sich anmelden wollen, sich doppelt anmelden müssen. Stichwort ist hier eigentlich "User Credentials Delegation in NTLM" - dachte ich auch. Habe ich eingestellt, funktioniert aber nicht wirklich. Ich habe es auf allen SRV-TS* Servern eingestellt. Die Einstellungen wurden, sowie Microsoft good2go sagt, eingestellt. Anschließend natürlich ein gpupdate /force durchgeführt. Hat noch jemand eine Idee, wieso es nicht zieht?
Besten Dank
Toorms
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 551773
Url: https://administrator.de/contentid/551773
Printed on: April 24, 2024 at 17:04 o'clock
9 Comments
Latest comment
Moin,
wurden die Terminal Server auch schon neu gestartet?
Gruß
Spirit
wurden die Terminal Server auch schon neu gestartet?
Gruß
Spirit
... tatsächlich noch nicht. Könnte ich heute mal in Angriff nehmen. Meinte wohl, dass gpudpate /force ausreicht. Berichte nochmal, nach dem Neustart.
Moin,
Du musst es für die Clients konfigurieren und nicht für die TS. Schließlich sollen die ja die Credetials an die TS übermitteln.
hth
Erik
Du musst es für die Clients konfigurieren und nicht für die TS. Schließlich sollen die ja die Credetials an die TS übermitteln.
hth
Erik
Oh, okay. Was ist denn, wenn ich einen Linux-Client habe? Wenn der das nicht kann ist Pustekuchen auf dem Client (Raspberry Pi z.B.). Den Rest kann ich theoretisch einfach per GPO verteilen.
Update 11:00 Uhr: Okay - ja. Schmeckt. Habe es in der GPO eingestellt, für Windows Rechner zieht das super.
Ich habe aber das Szenario, dass ich einen Pi habe, der mit rdesktop sich auf die Farm verbindet. Der Pi startet mit dem Benutzer "pi" und ist nicht in Domäne, wo er auch nicht rein soll. Der Pi startet nun rdesktop zu tsfarm.foo.bar - > Login Screen -> Daten werden eingeben -> wieder Login Screen -> Daten werden eingegeben -> dann erst landet er auf dem finalen (vom Session Broker ausgewähltem) Terminal Server.
Jemand eine Idee, wie ich es beim Pi einstelle oder ob es überhaupt ein Pi-Problem ist?
Update 11:00 Uhr: Okay - ja. Schmeckt. Habe es in der GPO eingestellt, für Windows Rechner zieht das super.
Ich habe aber das Szenario, dass ich einen Pi habe, der mit rdesktop sich auf die Farm verbindet. Der Pi startet mit dem Benutzer "pi" und ist nicht in Domäne, wo er auch nicht rein soll. Der Pi startet nun rdesktop zu tsfarm.foo.bar - > Login Screen -> Daten werden eingeben -> wieder Login Screen -> Daten werden eingegeben -> dann erst landet er auf dem finalen (vom Session Broker ausgewähltem) Terminal Server.
Jemand eine Idee, wie ich es beim Pi einstelle oder ob es überhaupt ein Pi-Problem ist?
Moin,
Das ist ja schonmal was.
Dann wird das mit dem Single Login afaik nichts, da sich der User ja auf dem PI authentifiziert und somit nicht gegen die Domain. Der Username, mit dem er sich also anmeldet lautet vollständig pi\username und nicht domain.tld\username. Selbst wenn die PWs gleich sind, ist der Username falsch und somit würde das Login abgelehnt. Insofern dürfte das auf dem PI nicht funktionieren und Du musst damit leben.
Liebe Grüße
Erik
Zitat von @Linuxa:
Update 11:00 Uhr: Okay - ja. Schmeckt. Habe es in der GPO eingestellt, für Windows Rechner zieht das super.
Update 11:00 Uhr: Okay - ja. Schmeckt. Habe es in der GPO eingestellt, für Windows Rechner zieht das super.
Das ist ja schonmal was.
Ich habe aber das Szenario, dass ich einen Pi habe, der mit rdesktop sich auf die Farm verbindet. Der Pi startet mit dem Benutzer "pi" und ist nicht in Domäne, wo er auch nicht rein soll.
Dann wird das mit dem Single Login afaik nichts, da sich der User ja auf dem PI authentifiziert und somit nicht gegen die Domain. Der Username, mit dem er sich also anmeldet lautet vollständig pi\username und nicht domain.tld\username. Selbst wenn die PWs gleich sind, ist der Username falsch und somit würde das Login abgelehnt. Insofern dürfte das auf dem PI nicht funktionieren und Du musst damit leben.
Liebe Grüße
Erik
Ich weiß ja nicht ob das was weiter bringt, aber passt so nicht ganz. Ich komme mit den Parametern zum Sessionbroker:
rdesktop -f -z -a 16 -k de -u "foo.bar\user01" -d foo.bar tsfarm.foo.bar
In der ersten Anmelde-Maske steht dann auch "foo.bar\user01". Die erste Anmeldemaske ist ja der Sessionbroker (TS-1). Wenn ich mich einlogge, kommt direkt die zweite Anmeldemaske, ebenfalls mit "foo.bar\user01" im Username-Feld ... würde es was bringen, wenn ich die Delegations-Einstellungen ebenfalls auf dem Session-Broker Server (TS-1) vornehme, denn das ist ja die erste Stelle wo sich der Login meldet und dieser gibt dann ab an den letztendlichen Terminal Server ... oder habe ich da was verkehrt verstanden?
rdesktop -f -z -a 16 -k de -u "foo.bar\user01" -d foo.bar tsfarm.foo.bar
In der ersten Anmelde-Maske steht dann auch "foo.bar\user01". Die erste Anmeldemaske ist ja der Sessionbroker (TS-1). Wenn ich mich einlogge, kommt direkt die zweite Anmeldemaske, ebenfalls mit "foo.bar\user01" im Username-Feld ... würde es was bringen, wenn ich die Delegations-Einstellungen ebenfalls auf dem Session-Broker Server (TS-1) vornehme, denn das ist ja die erste Stelle wo sich der Login meldet und dieser gibt dann ab an den letztendlichen Terminal Server ... oder habe ich da was verkehrt verstanden?
Ehrlich gesagt, weiß ich das nicht, weil ich das so noch nie gemacht habe. Aber ich würde das versuchen
Habe es nun etwas anders gemacht. Habe für den Pi das hier umgesetzt: https://unix.stackexchange.com/questions/119880/make-freerdp-prompt-user ...
und siehe da es funktioniert mit freerdp (xfreerdp) problemlos und super angenehm.
und siehe da es funktioniert mit freerdp (xfreerdp) problemlos und super angenehm.
Das merke ich mir, falls ich doch mal das Problem haben sollte. Machst Du bitte noch einen grünen Haken an den Thread?
Machst Du bitte noch einen grünen Haken an den Thread?
