3
RDP SSO Server 2016
Hallo zusammen,
gerne möchte ich mir hier Eurer Unterstützung einholen bei der Konfiguration von SSO in einer RDP Farm.
Ich habe nun zahlreiche Artikel gelesen zu diesem Thema und bin mir ziemlich sicher alles richtig gemacht zu haben.
Aber mein Ergebnis ist leider ein anderes. Was habe ich getan:
Windows Server 2016
Server 1 > Gateway Verbindungsbroker (HA)
Server 2 > Gateway Verbindungsbroker (HA)
Server 3 > Web-Access
Server 4 > Web-Aceess
RDSH 1-5
Die Farm an sich funktioniert einwandfrei. Vertrauenswürdiges Zertifikat ist eingespielt.
Nun möchte ich das Benutzer nur einmalig im Webinterface Ihren Benutzernamen eintragen müssen.
Dazu habe ich:
- In der Bereitstellung aktiviert das RD Gateway Anmeldedaten genutzt werden können
- Computer Configuration -> Policies -> Administrative Templates -> System -> Credential Delegation -> Allow delegation defaults credential meine Server eingetragen / bzw. mittlerweile bin ich schon beim TERMSRV/*
- Automatic logon with current username and password gesetzt
- mit "Get-Childitem CERT:\LocalMachine\My" mir die Zertifikate Hash gezogen und die per GPO gesetzt (Computer Configuration -> Administrative Templates -> Windows Desktop Services -> Remote Desktop Connection Client)
- im IIS die Windows Authentifikation aktiviert
- und die RDSH zur "Trusted" Zone hinzugefügt.
Vielleicht gibt es noch einen guten Tip hier was ich ggf. vergessen haben könnte...
Herzlichen Dank und ein schönes WE
Stefan
gerne möchte ich mir hier Eurer Unterstützung einholen bei der Konfiguration von SSO in einer RDP Farm.
Ich habe nun zahlreiche Artikel gelesen zu diesem Thema und bin mir ziemlich sicher alles richtig gemacht zu haben.
Aber mein Ergebnis ist leider ein anderes. Was habe ich getan:
Windows Server 2016
Server 1 > Gateway Verbindungsbroker (HA)
Server 2 > Gateway Verbindungsbroker (HA)
Server 3 > Web-Access
Server 4 > Web-Aceess
RDSH 1-5
Die Farm an sich funktioniert einwandfrei. Vertrauenswürdiges Zertifikat ist eingespielt.
Nun möchte ich das Benutzer nur einmalig im Webinterface Ihren Benutzernamen eintragen müssen.
Dazu habe ich:
- In der Bereitstellung aktiviert das RD Gateway Anmeldedaten genutzt werden können
- Computer Configuration -> Policies -> Administrative Templates -> System -> Credential Delegation -> Allow delegation defaults credential meine Server eingetragen / bzw. mittlerweile bin ich schon beim TERMSRV/*
- Automatic logon with current username and password gesetzt
- mit "Get-Childitem CERT:\LocalMachine\My" mir die Zertifikate Hash gezogen und die per GPO gesetzt (Computer Configuration -> Administrative Templates -> Windows Desktop Services -> Remote Desktop Connection Client)
- im IIS die Windows Authentifikation aktiviert
- und die RDSH zur "Trusted" Zone hinzugefügt.
Vielleicht gibt es noch einen guten Tip hier was ich ggf. vergessen haben könnte...
Herzlichen Dank und ein schönes WE
Stefan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 522740
Url: https://administrator.de/contentid/522740
Printed on: April 23, 2024 at 14:04 o'clock
3 Comments
Latest comment
Hallo Stefan,
deine Clients ziehen sich die GPO auch richtig?
Als ich das eingerichtet habe, hatte ich (der Erinnerung nach) nur die GPO gesetzt (Delegierung von Anmeldeinformationen zulassen) und dann ging das...
deine Clients ziehen sich die GPO auch richtig?
Als ich das eingerichtet habe, hatte ich (der Erinnerung nach) nur die GPO gesetzt (Delegierung von Anmeldeinformationen zulassen) und dann ging das...
Hallo Tomolpi,
ja die GPO wird gezogen. Vielleicht habe ich auch ein Denkfehler. Das SSO muss doch auch für externe Nutzer funktionieren.
Domänenbenutzeranmeldung am Webinterface > und diese Anmeldedaten werden dann auf den Verbindungsbroker übertragen für die Anmeldung am SessionHost.
Danke erstmal
Grüße
Stefan
ja die GPO wird gezogen. Vielleicht habe ich auch ein Denkfehler. Das SSO muss doch auch für externe Nutzer funktionieren.
Domänenbenutzeranmeldung am Webinterface > und diese Anmeldedaten werden dann auf den Verbindungsbroker übertragen für die Anmeldung am SessionHost.
Danke erstmal
Grüße
Stefan
Kann es sein das das SSO nur in Verbindung mit dem Internetexplodierer funktioniert?
Das scheint zu funktionieren...
Das scheint zu funktionieren...
