08.07.2025
940
10
0Microsoft RDS (Server 2019) - keine Delegation
Hallo zusammen,
ich habe ein Problem mit meiner Microsoft Server 2019 RDS installation. Ich habe folgendes Szenario:
RDS1 = ConnectionBroker, Lizenzserver, WebAcesss
RDS2 = SessionHost
Die installation ist bereits abgeschlossen. Ich habe eine Collection erstellt und eine App (notepad) freigegeben.
Mein RDS1 hat für alle Rollen ein gültiges Zertifikat hinterlegt.
Jetzt habe ich folgendes Problem...
Wenn ich mich über die Webseite (rds1.domain.com/RDWeb/webclient) anmelde und auf die App klicke passiert folgendes:
Domain Admin
Domain User
Wenn ich mich über mstsc.exe ANmelde, funktioniert alles einwandfrei.
Wenn ich die .rdp Datei speichere ((rds1.domain.com/RDWeb) und ausführe kommt die Meldung:
Da ich mich aber am Server mit RDP anmeldn kann, wird die Meldung irreführend sein.
Ich habe schon alle möglichen GPO geprüft und angepasst. Ohne Erfolg.
Die DNS Einträge funktionieren auch.
Hat jemand eine Idee wo ich noch nachsehen könnte. Was könnte die Anmeldung verhindern bzw. weshalb wird die ANmeldung nicht von RDS1 zu RDS2 weitergereicht? Danach sieht es zumindest aktuell aus.
VIelen Dank für eure Unterstützung
ich habe ein Problem mit meiner Microsoft Server 2019 RDS installation. Ich habe folgendes Szenario:
RDS1 = ConnectionBroker, Lizenzserver, WebAcesss
RDS2 = SessionHost
Die installation ist bereits abgeschlossen. Ich habe eine Collection erstellt und eine App (notepad) freigegeben.
Mein RDS1 hat für alle Rollen ein gültiges Zertifikat hinterlegt.
Jetzt habe ich folgendes Problem...
Wenn ich mich über die Webseite (rds1.domain.com/RDWeb/webclient) anmelde und auf die App klicke passiert folgendes:
Domain Admin
Remoteverbindung wird konfiguriert... Aber s wird nichts geöffnet.
Wenn ich (Details ansehen) anklicke sehe ich den Login Bildschirm. HIer kann ich benutzer und Passwort eintragen.
Hier sollte automatisch eine Anmeldung stattfinden. Wenn ich User und Passwort eintrag passiert auch nichts.Domain User
Sichere Verbindung wird hergestellt
Remoteverbindung wird konfiguriert
Mit dem Remotecomputer konnte keine Verbindung hergestellt werden.Wenn ich mich über mstsc.exe ANmelde, funktioniert alles einwandfrei.
Wenn ich die .rdp Datei speichere ((rds1.domain.com/RDWeb) und ausführe kommt die Meldung:
Die Verbindung wurde abgelehnt, da das Benutzerkonto nicht zur Remoteanmeldung autorisiert ist.Da ich mich aber am Server mit RDP anmeldn kann, wird die Meldung irreführend sein.
Ich habe schon alle möglichen GPO geprüft und angepasst. Ohne Erfolg.
Die DNS Einträge funktionieren auch.
Hat jemand eine Idee wo ich noch nachsehen könnte. Was könnte die Anmeldung verhindern bzw. weshalb wird die ANmeldung nicht von RDS1 zu RDS2 weitergereicht? Danach sieht es zumindest aktuell aus.
VIelen Dank für eure Unterstützung
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 673737
Url: https://administrator.de/forum/microsoft-rds-remote-desktop-server-673737.html
Ausgedruckt am: 03.08.2025 um 00:08 Uhr
10 Kommentare
Neuester Kommentar
RDS1 ist nur Broker etc. aber nicht auch RD-SH?
Da ich mich aber am Server mit RDP anmeldn kann, wird die Meldung irreführend sein.
Eher nicht. Du kannst dich als Admin per RDP anmelden? Das hat ja erstmal nichts mit der Sammlung zu tun. Der User, der versucht die RemoteApp zu starten, muss in der Sammlung berechtigt sein bzw. in einer berechtigten Gruppe sein. Da würde ich ansetzen.
Erstmal kann es vieles sein. Ich tippe am ehesten auf ein Zertifikatsproblem. Am besten man nimmt ein Zertifikat für alle beteiligten Server bzw. auch DNS Adressen (wenn du ein Round robin auf die Hosts verwendest).
und das mit beiden Namen. Also:
usw.
Dann das Zertifkat auf den Webaccess -Eiegne Zertifikate und den IIS Binden
und auf die Session Hosts in die eigenen Zertifikate - dann an RDP Binden:
Damit referenziert der Host alle RDS Verbindungen an das Zertifikat.
Dann könnte es klappen.
!!!: DNS muss überall sauber funktionieren
und das mit beiden Namen. Also:
sv-rds1
sv-rds1.domäne.de
sv-rds2
sv-rds2.domäne.de
sv-cb1
sv.cb1.domäne.deDann das Zertifkat auf den Webaccess -Eiegne Zertifikate und den IIS Binden
und auf die Session Hosts in die eigenen Zertifikate - dann an RDP Binden:
wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set
SSLCertificateSHA1Hash="Fingerprint" Damit referenziert der Host alle RDS Verbindungen an das Zertifikat.
Dann könnte es klappen.
!!!: DNS muss überall sauber funktionieren
1
Das könnte natürlich ein Problem sein. Ich habe aktuell für jeden Server ein eigenes Zertifikat mit dem entsprechenden CN des jeweiligen Servers (Servername.domain.com)
Zusätzlich habe ich im Zertifikat folgendes eingetragen.
Wie kann ich ein solches Zertifikat anlegen. was trage ich dann in den CN und den alt_names ein? Kann ich ein Zertifikat für die domain austellen, damit auch zukünftige Server kein Problem bekommen?
Zusätzlich habe ich im Zertifikat folgendes eingetragen.
[ alt_names]
DNS.1 = Servername.domain.com
IP.1 = ServerIPWie kann ich ein solches Zertifikat anlegen. was trage ich dann in den CN und den alt_names ein? Kann ich ein Zertifikat für die domain austellen, damit auch zukünftige Server kein Problem bekommen?
ich habe jetzt nur die FQDN eingetragen:
Leider hat das nicht funktioniert. Ich erhalte aktuell die Meldung, dass mein Benutzer nicht für die Remoteanmeldung autorisiert ist. Ich denke aber, dass die Meldung missverständlich ist und MIcrosoft hier etwas falsches ausgibt. eine RDP Verbindung via MSTSC kann hergestellt werden. EIne Verbindung über die gespeicherte .RDP Datei aus dem /RDweb aus der Collection funktioniert nicht. Hier erhalte ich die Fehlermeldung.
Wahrscheinlich liegt das Problem an der Weiterleitung vom RDS-CB/WA zum RDS-SH?
[ alt_names]
DNS.1 = Servername1.domain.com
DNS.2 = Servername2.domain.com
DNS.3 = Servername3.domain.comLeider hat das nicht funktioniert. Ich erhalte aktuell die Meldung, dass mein Benutzer nicht für die Remoteanmeldung autorisiert ist. Ich denke aber, dass die Meldung missverständlich ist und MIcrosoft hier etwas falsches ausgibt. eine RDP Verbindung via MSTSC kann hergestellt werden. EIne Verbindung über die gespeicherte .RDP Datei aus dem /RDweb aus der Collection funktioniert nicht. Hier erhalte ich die Fehlermeldung.
Wahrscheinlich liegt das Problem an der Weiterleitung vom RDS-CB/WA zum RDS-SH?
Moin,
Gruß,
Dani
RDS1 = ConnectionBroker, Lizenzserver, WebAcesss
Welchen Sinn macht es WebAccess ohne GW zu nutzen?Verbindung via MSTSC kann hergestellt werden. EIne Verbindung über die gespeicherte .RDP Datei aus dem /RDweb aus der Collection funktioniert nicht. Hier erhalte ich die Fehlermeldung.
sicher, dass du bei MSTSC auch den RD Webaccess bzw. RD GW verwendest du nicht direkt die Verbindung aufbaust?! Das könntest du mit Wireshark prüfen...Gruß,
Dani
ALso ein GW benötigt man eigntlich nur wenn man von unsicheren Netzwerken wie z.B. dem Internet auf die RDS Server zugreifen möchte. Das ist hier nicht der fall.
Bei meinem MSTSC Test habe ich einfach direkt den Namen des RDS Servers eingetragen. RDS1 oder RDS2.
Somit kann ich auch sicherstellen, dass ich mich auf dem entsprechenden Server anmelde.
Bei meinem MSTSC Test habe ich einfach direkt den Namen des RDS Servers eingetragen. RDS1 oder RDS2.
Somit kann ich auch sicherstellen, dass ich mich auf dem entsprechenden Server anmelde.
Ahhh... ich habe gerade festgestellt, dass wenn ich als Benutzer via mstsc meinen RDS2 Server (SH) angebe, funktioniert die Verbindung. Wenn ich meinen RDS1 (CB) eintrage, erhalte die gleiche Fehlermeldung (Die Verbindung wurde abgelehnt, da das Benutzerkonnto nicht zur Remoteanmeldung autorisiert ist.
Die Meldung kommt jedoch nur wenn ich den FQDN verwende (RDS1.domain.com)
Wenn ich nur den RDS1 angebe, ohne Domain, werde ich auf diesem angemeldet.
Die Meldung kommt jedoch nur wenn ich den FQDN verwende (RDS1.domain.com)
Wenn ich nur den RDS1 angebe, ohne Domain, werde ich auf diesem angemeldet.
Moin,
Gruß,
Dani
ALso ein GW benötigt man eigntlich nur wenn man von unsicheren Netzwerken wie z.B. dem Internet auf die RDS Server zugreifen möchte. Das ist hier nicht der fall.
Dann machen unsere System Architekten seit 10 Jahren was falsch. Bei meinem MSTSC Test habe ich einfach direkt den Namen des RDS Servers eingetragen. RDS1 oder RDS2.
Direkte Verbindung vs Connection Broker. Da vergleichst du Äpfel mit Birnen...Wenn ich meinen RDS1 (CB) eintrage, erhalte die gleiche Fehlermeldung (Die Verbindung wurde abgelehnt, da das Benutzerkonnto nicht zur Remoteanmeldung autorisiert ist.
Ist der Benutzer in allen notwendigen Gruppen, damit er auf RDS als auch die Collection zugreifen darf?Ahhh... ich habe gerade festgestellt, dass wenn ich als Benutzer via mstsc meinen RDS2 Server (SH) angebe, funktioniert die Verbindung.
Lass mich raten: Das verwendete Benutzerkonto ist auf dem Server, Mitglied in der Gruppe Administrators?!Gruß,
Dani
Hast du mittlerweile mal die Berechtigungseinstellung innerhalb der Sammlung / Collection in der RD Verwaltung am Broker geprüft? Siehe Post #2. Der Benutzer, der sich über die RDP File an der Sammlung anmelden will muss dort berechtigt sein.
Also ich habe jetzt nochmal alles neu aufgesetzt.
Server1 (ConnectionBroker, WebAccess)
Server2 (SessionHost)
Server3 (SessionHost)
Ich habe über den Server Manager die Installation durchgeführt und alles wurde ohne Fehler angelegt.
Ich hab anschließend eine Sammlung erstellt (rdsfarm) und die beiden SessionHost Server hinzugefügt.
Während dem Setup der Sammlung habe ich die Meldung erhalten:
Die Sammlung wurde jedoch angelegt und ich sehe beide SH Server innerhalb der Sammlung.
Folgende Befehle zeigt beide SessionHost Server an.
AUf meinem DomainController hab ich im DNS einen neuen A Record erstellt.
Ich habe ein Zertifikat erstellt welches als altname alle Server gelistet hat.
Das Zertifikat habe ich in meiner Bereitstellung und auf den SessionHost Servern für die RDP Verbindung hinterlegt.
Ich kann mich auf allen Servern anmelden
Wenn ich jetzt folgendes in mstsc eintrage lande ich jedoch nicht auf einem SessionHost, sondern immer auf dem ConnectionBroker!?
Auch wenn ich über die Weseiter (rdweb) dir rdsfarm.rds Datei speichere und ausführe, lande ich immer auf dem ConnectionBroker.
Ich verstehe nicht, warum ich nicht auf die SH Server weitergeleitet werde?
Server1 (ConnectionBroker, WebAccess)
Server2 (SessionHost)
Server3 (SessionHost)
Ich habe über den Server Manager die Installation durchgeführt und alles wurde ohne Fehler angelegt.
Ich hab anschließend eine Sammlung erstellt (rdsfarm) und die beiden SessionHost Server hinzugefügt.
Während dem Setup der Sammlung habe ich die Meldung erhalten:
"Der RD-Sitzungshostserver konnte nicht konfiguriert werden" Folgende Befehle zeigt beide SessionHost Server an.
Get-RDSessionHost -CollectionName "rdsfarm" AUf meinem DomainController hab ich im DNS einen neuen A Record erstellt.
rdsfarm.domain.local
IP Adresse des ConnectionBrokersIch habe ein Zertifikat erstellt welches als altname alle Server gelistet hat.
Das Zertifikat habe ich in meiner Bereitstellung und auf den SessionHost Servern für die RDP Verbindung hinterlegt.
Ich kann mich auf allen Servern anmelden
cmd
mstsc /v:server1.domain.local
mstsc /v:server2.domain.local
mstsc /v:server3.domain.localWenn ich jetzt folgendes in mstsc eintrage lande ich jedoch nicht auf einem SessionHost, sondern immer auf dem ConnectionBroker!?
cmd
mstsc /v:rdsfarm.domain.local
oder mstsc
rdsfarm.domain.localAuch wenn ich über die Weseiter (rdweb) dir rdsfarm.rds Datei speichere und ausführe, lande ich immer auf dem ConnectionBroker.
Ich verstehe nicht, warum ich nicht auf die SH Server weitergeleitet werde?
