samrein
Goto Top

RDP SSO Server 2016

Hallo zusammen,

gerne möchte ich mir hier Eurer Unterstützung einholen bei der Konfiguration von SSO in einer RDP Farm.

Ich habe nun zahlreiche Artikel gelesen zu diesem Thema und bin mir ziemlich sicher alles richtig gemacht zu haben.
Aber mein Ergebnis ist leider ein anderes. Was habe ich getan:

Windows Server 2016
Server 1 > Gateway Verbindungsbroker (HA)
Server 2 > Gateway Verbindungsbroker (HA)
Server 3 > Web-Access
Server 4 > Web-Aceess


RDSH 1-5

Die Farm an sich funktioniert einwandfrei. Vertrauenswürdiges Zertifikat ist eingespielt.

Nun möchte ich das Benutzer nur einmalig im Webinterface Ihren Benutzernamen eintragen müssen.

Dazu habe ich:

- In der Bereitstellung aktiviert das RD Gateway Anmeldedaten genutzt werden können
- Computer Configuration -> Policies -> Administrative Templates -> System -> Credential Delegation -> Allow delegation defaults credential meine Server eingetragen / bzw. mittlerweile bin ich schon beim TERMSRV/*
- Automatic logon with current username and password gesetzt
- mit "Get-Childitem CERT:\LocalMachine\My" mir die Zertifikate Hash gezogen und die per GPO gesetzt (Computer Configuration -> Administrative Templates -> Windows Desktop Services -> Remote Desktop Connection Client)
- im IIS die Windows Authentifikation aktiviert
- und die RDSH zur "Trusted" Zone hinzugefügt.

Vielleicht gibt es noch einen guten Tip hier was ich ggf. vergessen haben könnte...


Herzlichen Dank und ein schönes WE

Stefan

Content-Key: 522740

Url: https://administrator.de/contentid/522740

Ausgedruckt am: 01.10.2022 um 12:10 Uhr

Mitglied: tomolpi
tomolpi 06.12.2019 um 12:32:21 Uhr
Goto Top
Hallo Stefan,

deine Clients ziehen sich die GPO auch richtig?
Als ich das eingerichtet habe, hatte ich (der Erinnerung nach) nur die GPO gesetzt (Delegierung von Anmeldeinformationen zulassen) und dann ging das...
Mitglied: samrein
samrein 06.12.2019 um 12:43:01 Uhr
Goto Top
Hallo Tomolpi,

ja die GPO wird gezogen. Vielleicht habe ich auch ein Denkfehler. Das SSO muss doch auch für externe Nutzer funktionieren.


Domänenbenutzeranmeldung am Webinterface > und diese Anmeldedaten werden dann auf den Verbindungsbroker übertragen für die Anmeldung am SessionHost.

Danke erstmal

Grüße
Stefan
Mitglied: samrein
samrein 06.12.2019 um 14:30:58 Uhr
Goto Top
Kann es sein das das SSO nur in Verbindung mit dem Internetexplodierer funktioniert?
Das scheint zu funktionieren... face-sad