15
RDS - Benutzer anhand ihrer Gruppe am passenden Pool anmelden
Hallo zusammen,
ich habe aktuell ein Problem, dass ich allein nicht gelöst bekomme. Folgendes ist das Szenario:
Wir möchten gerne eine Terminalserver Farm aufbauen, die aus ca. 20 Terminalservern, einem Broker und einem Lizenzserver besteht.
So weit so gut und auch nicht so das Problem. Die Anforderung ist aber, dass es nur eine MSTSC Verknüpfung gibt, mit der sich alle Benutzer anmelden. Sprich, der Broker(?) prüft ob sich der anmeldende Benutzer in einer Gruppe Mitglied ist, die einem der Pools zugeordnet ist, wenn ja, wählt der Broker(?) einen Server aus dem Pool aus und meldet den Benutzer dort an.
Aus irgendeinem Grund habe ich mir das deutlich einfacher vorgestellt, kriege es technisch bisher nicht umgesetzt. Ich finde dazu auch fast nichts im Internet.
Vielleicht hat hier jemand eine Idee oder einen passenden Link. Ich bin für jegliche Hilfe dankbar!
Liebe Grüße
BlakeD
ich habe aktuell ein Problem, dass ich allein nicht gelöst bekomme. Folgendes ist das Szenario:
Wir möchten gerne eine Terminalserver Farm aufbauen, die aus ca. 20 Terminalservern, einem Broker und einem Lizenzserver besteht.
So weit so gut und auch nicht so das Problem. Die Anforderung ist aber, dass es nur eine MSTSC Verknüpfung gibt, mit der sich alle Benutzer anmelden. Sprich, der Broker(?) prüft ob sich der anmeldende Benutzer in einer Gruppe Mitglied ist, die einem der Pools zugeordnet ist, wenn ja, wählt der Broker(?) einen Server aus dem Pool aus und meldet den Benutzer dort an.
Aus irgendeinem Grund habe ich mir das deutlich einfacher vorgestellt, kriege es technisch bisher nicht umgesetzt. Ich finde dazu auch fast nichts im Internet.
Vielleicht hat hier jemand eine Idee oder einen passenden Link. Ich bin für jegliche Hilfe dankbar!
Liebe Grüße
BlakeD
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4881683650
Url: https://administrator.de/contentid/4881683650
Ausgedruckt am: 26.11.2024 um 00:11 Uhr
15 Kommentare
Neuester Kommentar
Hatten wir grade in ähnlicher Form nur etwas, ich nenne es mal vorsichtig "unprofessionell":
Remote Desktop Sitzungen verteilen
Wenn du lokal eine benutzerspezifische Umgebung hast kannst du einfach unterschiedliche RD-Dateien verteilen. Das wäre jedenfalls erstmal mein Ansatz. Eine Möglichkeit das anders zu lösen sehe ich unter MS RDS nicht, eventuell mit Citrix oben drauf.
Remote Desktop Sitzungen verteilen
Wenn du lokal eine benutzerspezifische Umgebung hast kannst du einfach unterschiedliche RD-Dateien verteilen. Das wäre jedenfalls erstmal mein Ansatz. Eine Möglichkeit das anders zu lösen sehe ich unter MS RDS nicht, eventuell mit Citrix oben drauf.
Zitat von @ukulele-7:
Hatten wir grade in ähnlicher Form nur etwas, ich nenne es mal vorsichtig "unprofessionell":
Remote Desktop Sitzungen verteilen
Wenn du lokal eine benutzerspezifische Umgebung hast kannst du einfach unterschiedliche RD-Dateien verteilen. Das wäre jedenfalls erstmal mein Ansatz. Eine Möglichkeit das anders zu lösen sehe ich unter MS RDS nicht, eventuell mit Citrix oben drauf.
Hatten wir grade in ähnlicher Form nur etwas, ich nenne es mal vorsichtig "unprofessionell":
Remote Desktop Sitzungen verteilen
Wenn du lokal eine benutzerspezifische Umgebung hast kannst du einfach unterschiedliche RD-Dateien verteilen. Das wäre jedenfalls erstmal mein Ansatz. Eine Möglichkeit das anders zu lösen sehe ich unter MS RDS nicht, eventuell mit Citrix oben drauf.
Hi und danke für die schnelle Rückmeldung.
Das Problem mit der Variante ist, dass es einen Haufen Thin Clients gibt, die nicht zentral verwaltet werden. Hier soll im Idealfall halt eine Verknüpfung abgelegt werden und alles andere läuft dann über die Serverkonfiguration ab. Damit so ein Thin Client auch mal die Abteilung wechseln kann ohne groß umkonfiguriert zu werden. Ich denke aber mehr und mehr, dass das mit Windows Server Bordmitteln gar nicht geht...
BlakeD
Ich habe das in der Tat auch so. Der lokale Client ist zwar ein normaler Windows PC, die Anmeldung erfolgt aber mit einem "Dummy"-User der auf nichts Zugriff hat. Der echte Benutzer meldet sich nur am RD-SH mit seinem Konto an. Allerdings habe ich in fast allen Fällen auch die selbe Ziel-Sammlung.
Welches OS läuft auf deinen ThinClients? Kann man dort vielleicht per Geräte GPO oder so Dateien ablegen?
Welches OS läuft auf deinen ThinClients? Kann man dort vielleicht per Geräte GPO oder so Dateien ablegen?
nein, per GPOs kriegen wir da nichts ausgerollt. Das wäre ein guter Weg gewesen dem User die passende Verknüpfung auf dem Desktop zu legen. Wir wollen halt vermeiden, dass es 5-6-7 pool spezifische Verknüpfungen gibt.
Eventuell gibt es eine Verwaltungsoberfläche für eure ThinClients mit der das sinnvoll umsetzbar ist (also unterschiedliche Dateien / Verknüpfungen auf den Desktop zu legen) oder Tool wie https://www.heise.de/download/product/rdp-manager-75852 das auf dem Client laufen kann. Leider fällt mir sonst auch keine andere Möglichkeit ein außer einfach mehrere Dateien für mehrere Farmen hin zu legen und die Benutzer passend auf die Sammlung zu berechtigen. Dann muss der User zwar eine Sekunde mehr überlegen aber kann eigentlich nichts kaputt machen.
1
@BlakeDarko
Gruß,
Dani
Hier soll im Idealfall halt eine Verknüpfung abgelegt werden und alles andere läuft dann über die Serverkonfiguration ab.
Aber genau das wird mit der Lösung in dem verlinkten Beitrag erreicht. Oder lasse ich etwas außer acht?Das wäre ein guter Weg gewesen dem User die passende Verknüpfung auf dem Desktop zu legen. Wir wollen halt vermeiden, dass es 5-6-7 pool spezifische Verknüpfungen gibt.
Hat ein Benutzer genau auf einen Pool Zugriff, kann das doch problemlos umgesetzt werden. Die Berechtigungen steuerst du über die Benutzerkonten bzw. Gruppen auf Sammlungen.Das Problem mit der Variante ist, dass es einen Haufen Thin Clients gibt, die nicht zentral verwaltet werden.
Was für Betriebssystem läuft auf den Thinclients?Gruß,
Dani
Zitat von @Dani:
@BlakeDarko
Gruß,
Dani
@BlakeDarko
Hier soll im Idealfall halt eine Verknüpfung abgelegt werden und alles andere läuft dann über die Serverkonfiguration ab.
Aber genau das wird mit der Lösung in dem verlinkten Beitrag erreicht. Oder lasse ich etwas außer acht?Das wäre ein guter Weg gewesen dem User die passende Verknüpfung auf dem Desktop zu legen. Wir wollen halt vermeiden, dass es 5-6-7 pool spezifische Verknüpfungen gibt.
Hat ein Benutzer genau auf einen Pool Zugriff, kann das doch problemlos umgesetzt werden. Die Berechtigungen steuerst du über die Benutzerkonten bzw. Gruppen auf Sammlungen.Das Problem mit der Variante ist, dass es einen Haufen Thin Clients gibt, die nicht zentral verwaltet werden.
Was für Betriebssystem läuft auf den Thinclients?Gruß,
Dani
Hi und danke für deine Antwort.
Ich sehe leider nicht (auch aus dem verlinkten Beitrag nicht) wie ich eine RDP Verknüpfung habe die auf eine einzige IP oder Hostnamen zeigt und beim Verbinden (Benutzername und Kennwort) der User auf den passenden Server in dem für ihn vorgesehenen Pool angemeldet wird.
Wir haben Pools, 6 Stück an der Zahl aber es reicht nicht sich mit dem Broker zu verbinden um dann in den richtigen Pool angemeldet zu werden.
Ich hoffe es ist verständlich, wie ich es schreibe. Ich wüsste nicht mal wie man das konkret nennt. Load Balancing ist ja nicht. Eher Zugriffsteuerung über einen Dienst oder so?!
Beste Grüße
BlakeD
Zitat von @ukulele-7:
Eventuell gibt es eine Verwaltungsoberfläche für eure ThinClients mit der das sinnvoll umsetzbar ist (also unterschiedliche Dateien / Verknüpfungen auf den Desktop zu legen) oder Tool wie https://www.heise.de/download/product/rdp-manager-75852 das auf dem Client laufen kann. Leider fällt mir sonst auch keine andere Möglichkeit ein außer einfach mehrere Dateien für mehrere Farmen hin zu legen und die Benutzer passend auf die Sammlung zu berechtigen. Dann muss der User zwar eine Sekunde mehr überlegen aber kann eigentlich nichts kaputt machen.
Eventuell gibt es eine Verwaltungsoberfläche für eure ThinClients mit der das sinnvoll umsetzbar ist (also unterschiedliche Dateien / Verknüpfungen auf den Desktop zu legen) oder Tool wie https://www.heise.de/download/product/rdp-manager-75852 das auf dem Client laufen kann. Leider fällt mir sonst auch keine andere Möglichkeit ein außer einfach mehrere Dateien für mehrere Farmen hin zu legen und die Benutzer passend auf die Sammlung zu berechtigen. Dann muss der User zwar eine Sekunde mehr überlegen aber kann eigentlich nichts kaputt machen.
Ja inzwischen bin ich auch soweit, dass ich sage es gibt 6 Dateien, jede für einen Pool und dort verbinden sich die Benutzer. Die Thin Clients (IGEL) müssen dann so konfiguriert werden, wie es benötigt wird.
Igel hat(te) eine zentrale Verwaltungssoftware, ist allerdings 10 Jahre her das ich die mal getestet hab. Kann man dort nicht ThinClients im Netzwerk verwalten und Dateien verteilen?
Moin,
Gruß,
Dani
Wir haben Pools, 6 Stück an der Zahl aber es reicht nicht sich mit dem Broker zu verbinden um dann in den richtigen Pool angemeldet zu werden.
ich bin immer noch nicht wesentlich schlauer. Beschreibe doch einmal genau den Ablauf einer Anmeldung.Gruß,
Dani
Zitat von @ukulele-7:
Igel hat(te) eine zentrale Verwaltungssoftware, ist allerdings 10 Jahre her das ich die mal getestet hab. Kann man dort nicht ThinClients im Netzwerk verwalten und Dateien verteilen?
Igel hat(te) eine zentrale Verwaltungssoftware, ist allerdings 10 Jahre her das ich die mal getestet hab. Kann man dort nicht ThinClients im Netzwerk verwalten und Dateien verteilen?
Leider nicht, die Think Clients haben keine Zentrale Verwaltung (Ist nicht meine Struktur ;) )
Zitat von @Dani:
Moin,
Gruß,
Dani
Moin,
Wir haben Pools, 6 Stück an der Zahl aber es reicht nicht sich mit dem Broker zu verbinden um dann in den richtigen Pool angemeldet zu werden.
ich bin immer noch nicht wesentlich schlauer. Beschreibe doch einmal genau den Ablauf einer Anmeldung.Gruß,
Dani
HI,
gerne. Gewünscht ist folgendes:
1. Benutzer startet die RDP Anmeldung per Benutzername + Passwort.
2. Anmeldung kommt an einer zentralen Stelle (Broker?) an.
3. Zentrale Stelle prüft, auf welchen Pool dieser Benutzer Zugriff hat.
4. Benutzer wird an einem TS in diesem Pool angemeldet.
Die Pools sind über Gruppenzugehörigkeit bereits gesteuert. Was wir nur nicht hinkriegen ist, dass es eine Stelle zum übermitteln der Anmeldedaten gibt (also eine Verknüpfung) aber je nach Gruppenzugehörigkeit der passende Pool ausgewählt wird.
Im Moment ist es so, dass für alle Pools ein DNS Eintrag gesetzt wurde und es entsprechend viele Verknüpfungen gibt, die sich direkt am Pool anmelden. Das klappt, ist aber nicht so schön von der Verwaltung wie, wenn du nur einen Hostnamen hast, wo du dich hin verbindest.
Verstehe ich auch, scheint aber mit Boardmitteln nicht zu klappen. Citrix kann das, können wir aber nicht verwenden.
Grüße
BlakeD
Ganz bekloppte Idee hätte ich noch:
Pro Sammlung (also Abteilung) ein eigener RD-Broker. Jede Abteilung ein eigenes Subnetz, jedes Subnetz ein eigener DNS und alle Clients verweisen auf den selben DNS-Eintrag des RD-Broker der aber unterschiedliche auflöst. Lizenzserver und AD können geteilt werden.
Ist natürlich viel Aufwand, ich weiß ja auch nicht um wie viele Clients es geht. Und abgesehen davon nicht unbedingt was man haben möchte.
Pro Sammlung (also Abteilung) ein eigener RD-Broker. Jede Abteilung ein eigenes Subnetz, jedes Subnetz ein eigener DNS und alle Clients verweisen auf den selben DNS-Eintrag des RD-Broker der aber unterschiedliche auflöst. Lizenzserver und AD können geteilt werden.
Ist natürlich viel Aufwand, ich weiß ja auch nicht um wie viele Clients es geht. Und abgesehen davon nicht unbedingt was man haben möchte.
Zitat von @ukulele-7:
Ganz bekloppte Idee hätte ich noch:
Pro Sammlung (also Abteilung) ein eigener RD-Broker. Jede Abteilung ein eigenes Subnetz, jedes Subnetz ein eigener DNS und alle Clients verweisen auf den selben DNS-Eintrag des RD-Broker der aber unterschiedliche auflöst. Lizenzserver und AD können geteilt werden.
Ist natürlich viel Aufwand, ich weiß ja auch nicht um wie viele Clients es geht. Und abgesehen davon nicht unbedingt was man haben möchte.
Ganz bekloppte Idee hätte ich noch:
Pro Sammlung (also Abteilung) ein eigener RD-Broker. Jede Abteilung ein eigenes Subnetz, jedes Subnetz ein eigener DNS und alle Clients verweisen auf den selben DNS-Eintrag des RD-Broker der aber unterschiedliche auflöst. Lizenzserver und AD können geteilt werden.
Ist natürlich viel Aufwand, ich weiß ja auch nicht um wie viele Clients es geht. Und abgesehen davon nicht unbedingt was man haben möchte.
Ja, gute Idee. Hatte ich so oder so ähnlich auch schon. Ist vom Aufwand her glaube ich zu groß. Es geht um etwa 250 Clients.
Danke euch für die vielen guten Ideen!
Beste Grüße
BlakeD
Moin,
das ist doch mit Remote Desktop Services und den Rollen abbbildbar. Ich beschreibe einmal unseren Prozess bei uns:
Client -> LB -> RD Gateway/Web -> RD Broker -> RDSHxxx.
Zwischen RDGW/RDWEB -> Broker -> RDSH fungiert die Anmeldung mit Hilfe von Single Sign On. D.h. ich gebe genau einmal meine Kennung ein und danach kann ich mich bis zur Anwendung frei bewegen.
Gruß,
Dani
das ist doch mit Remote Desktop Services und den Rollen abbbildbar. Ich beschreibe einmal unseren Prozess bei uns:
Client -> LB -> RD Gateway/Web -> RD Broker -> RDSHxxx.
Zwischen RDGW/RDWEB -> Broker -> RDSH fungiert die Anmeldung mit Hilfe von Single Sign On. D.h. ich gebe genau einmal meine Kennung ein und danach kann ich mich bis zur Anwendung frei bewegen.
Die Pools sind über Gruppenzugehörigkeit bereits gesteuert. Was wir nur nicht hinkriegen ist, dass es eine Stelle zum übermitteln der Anmeldedaten gibt (also eine Verknüpfung) aber je nach Gruppenzugehörigkeit der passende Pool ausgewählt wird.
Das ist doch die Aufgabe des RD Brokers?!Gruß,
Dani
