fenris14
21.02.2025 um 12:36:10 Uhr
view508
view12
0
Goto Top

RDS-Lizenzserver in AD für lokale User?

FrageMicrosoftWindows Server
Hallo,

ich habe eine Frage zur RDS-Lizensierung.

Kurz zum Problem: Wir haben zwei RDS-Server als virtualisierte Maschinen in Betrieb genommen. Dazu läuft auf einem Server davon auch der RD-Lizensierungshost. Beide Maschinen sind für unterschiedliche Appliances von Drittanbietern. Beide sind Windows Server 2025 Datacenter.

Auf dem zweiten Server haben wir nur per Remotedesktopdienste die Verbindung zum Lizensierungserver eingetragen und auch in den Einstellungen zur Bereitstellung hinterlegt.

Wenn ich mich als AD-User an dem Server anmelde. Dann geht alles ganz normal. Melde ich mich als lokaler Benutzer an, bekomme ich folgende Fehlermeldung:

image001

Nun lautet meine Frage: Wird der Eintrag des Lizensierungshost bei lokalen Nutzern ignoriert? Wenn ja, wie kann ich das umschiffen?

Grüße
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 671557

Url: https://administrator.de/forum/rds-lizenzserver-in-ad-fuer-lokale-user-671557.html

Ausgedruckt am: 22.02.2025 um 04:02 Uhr

12 Kommentare
Neuester Kommentar
Goto Top
em-pie
em-pie 21.02.2025 um 12:44:21 Uhr
Goto Top
Moin,

Nun lautet meine Frage: Wird der Eintrag des Lizensierungshost bei lokalen Nutzern ignoriert? Wenn ja, wie kann ich das umschiffen?
Ob der ignroriert wird, weiss ich nicht, aber setz den Lizenzserver doch einfach per GPO...
https://www.itprotoday.com/regulatory-compliance/configure-rd-licensing- ...
StefanKittel
StefanKittel 21.02.2025 um 12:46:34 Uhr
Goto Top
Hallo,
Warum sollte man sich als lokaler Benutzer anmelden wenn man ein AD hat?
Stefan
Fenris14
Fenris14 21.02.2025 um 12:47:29 Uhr
Goto Top
Zitat von @em-pie:

Moin,

Nun lautet meine Frage: Wird der Eintrag des Lizensierungshost bei lokalen Nutzern ignoriert? Wenn ja, wie kann ich das umschiffen?
Ob der ignroriert wird, weiss ich nicht, aber setz den Lizenzserver doch einfach per GPO...
https://www.itprotoday.com/regulatory-compliance/configure-rd-licensing- ...

Genau das ist bereits der Fall. Ich habe es nach Neustart des Servers auch gesehen das er sich die GPO zieht. Das Problem besteht weiterhin. Deshalb habe ich es dann zusätzlich noch in den Bereitstellungs-Einstellungen gesetzt. Lustigerweise gibt es keinen Fehler in RD-Lizenzdiagnose. Der Fehler kommt aber als lokaler User dennoch.
Fenris14
Fenris14 21.02.2025 um 12:48:49 Uhr
Goto Top
Zitat von @StefanKittel:

Hallo,
Warum sollte man sich als lokaler Benutzer anmelden wenn man ein AD hat?
Stefan

Es handelt sich um den Zugang von einem Dienstleister. Er braucht nur Zugang zu genau diesem Server und soll auch sonst keine weiteren Berechtigungen in der restlichen Struktur erhalten.
em-pie
em-pie 21.02.2025 um 12:53:58 Uhr
Goto Top
Zitat von @Fenris14:

Zitat von @StefanKittel:

Hallo,
Warum sollte man sich als lokaler Benutzer anmelden wenn man ein AD hat?
Stefan

Es handelt sich um den Zugang von einem Dienstleister. Er braucht nur Zugang zu genau diesem Server und soll auch sonst keine weiteren Berechtigungen in der restlichen Struktur erhalten.

Kannst ja trotzdem einen AD-User anlegen und die Anmeldung nur an diesem Server zu lassen…
Fenris14
Fenris14 21.02.2025 um 12:59:44 Uhr
Goto Top
Man kann es tatsächlich im Lizensierunghost sehen, er reserviert keine RDS CAL für die Verbindung vom lokalen Benutzer. Folgedessen werden tatsächlich lokale Nutzer nicht berücksichtigt. Ist mir tatsächlich vollkommen neu.

@em-pie, so wie es hier gleich oben beschrieben wird?

https://www.xbs.ch/anmelden-an-bestimmten-pcs-fuer-benutzer-und-gruppen- ...

Dann den User in die lokale Administratoren-Gruppe damit dieser Installationen vornehmen kann?
denkis
denkis 21.02.2025 um 13:42:08 Uhr
Goto Top
Hallo Fenris,

schaue mal hier
Vielleicht hilft das.

Gruß
denkis
ds6.eu
ds6.eu 21.02.2025 um 15:13:50 Uhr
Goto Top
Richtig,

Lizenzrechtlich brauchst du sowieso eine Windows Server Lizenz.
Fenris14
Fenris14 21.02.2025 um 15:52:19 Uhr
Goto Top
Zitat von @denkis:

Hallo Fenris,

schaue mal hier
Vielleicht hilft das.

Gruß
denkis

Das Problem ist das dies nur funktioniert wenn der Lizenzserver als auch der RDS nicht teil eine AD sind. Lokal in einer Arbeitsgruppe zusammen, sogar auf einem Server, funktioniert das. Hatte ich so schon im Betrieb. Allerdings in der AD, lässt der Lizensierunghost per RPC keine Verbindung zu wenn es nicht über eine Domain Authentifizierung stattfindet.

Anmeldung auf einem Rechner beschränken über ADUC geht nicht, weil man dann auch den Netbios-Name des Rechner eintragen müsste vom dem aus er sich per RDP verbindet. Da das über VPN irgendwo extern geschieht, mit ständig wechselnden Rechnern, ist das nicht praktikabel.

Ich habe vorerst eine GPO und eine Gruppe mit dem User erstellt, diese dann in in die lokale Admin-Gruppe und Remotedesktopbenutzer eingetragen. Jetzt müsste noch eine GPO erstellt werden, damit er sich an anderen Arbeitsstationen das lokale Anmelden und Anmelden über Remotedesktopdienste verweigert.
DerWoWusste
DerWoWusste 21.02.2025 um 16:00:11 Uhr
Goto Top
Der Tipp beschreibt, wie's funktioniert: der RDS muss sein eigener Lizenzserver sein (du darfst ja mehrere Lizenzserver haben).
Fenris14
Fenris14 21.02.2025 um 17:20:20 Uhr
Goto Top
Zitat von @DerWoWusste:

Der Tipp beschreibt, wie's funktioniert: der RDS muss sein eigener Lizenzserver sein (du darfst ja mehrere Lizenzserver haben).

Ja, das wäre jetzt tatsächlich noch eine Maßnahme. Einen weiteren Lizenzserver lokal installieren auf die selbe Maschine.

Ich habe jetzt dennoch einen AD-User angelegt und damit funktioniert die Reservierung einer RDS CAL prompt, auch mit einem entfernten Lizenzserver. Ich muss jetzt halt nur schauen wie ich verhindere das dieser User sich überall Remote anmelden kann.
em-pie
em-pie 21.02.2025 um 17:26:03 Uhr
Goto Top
Ich muss jetzt halt nur schauen wie ich verhindere das dieser User sich überall Remote anmelden kann.
Du kannst im AD-Objekt des Users festlegen, wo er sich nur anmelden kann. Müsste im Reiter „Konto“ sein.

Freigaben (bzw. NTFS) an Fileservern setzt man dann ja ohnehin nie so, dass „Jeder“ Leserechte hat. Daher dürfte er nirgends (außer \\Domain.tld\SysVol etc.) dran kommen…
Ansonsten kann man auch ggf. noch was mit Firewall-Regeln und userbasierten GPOs definieren (habe es aber noch nie selbst gemacht)
FrageMicrosoftWindows Server
Mehr von Fenris14Fenris14Printserver Treiber-Upload Kyocera Typ 4 PCL Problem mit BenutzermodusFenris14 - 13 KommentareFenris14Erfahrungen Mikrotik Cube 60Pro 802.11ay Wlan BridgeFenris14 - 5 KommentareFenris14Ruckus ICX Traffic Policy Rate-Limit EtherconnectFenris14 - 9 KommentareFenris14Datacenter Routing VRRP Design Best-PracticeFenris14 - 10 Kommentare
Heiß diskutiert
MysticFoxDEWINDOWS 11 24H2 - Offizieller Support nur noch ab Intel Gen 11 CPUsMysticFoxDE - 46 KommentareMasterOfInternet6860 5G und 7590 (ohne AX) verbinden für Außenzugriff auf Datenträger an 7590MasterOfInternet - 38 KommentareLochkartenstanzerWindows 10: ipv4 kaputt, v6 gehtLochkartenstanzer - 31 KommentareniederrheinerOpenVPN Mikrotik Routing auf lokale Endgeräteniederrheiner - 28 KommentareTP-JetstreamVLAN Weiterleitung Routing ins InternetTP-Jetstream - 26 Kommentareukulele-7Langlebiger USB-Stick gesuchtukulele-7 - 26 KommentareRoterFruchtZwergVEthernet Adapter entfernenRoterFruchtZwerg - 22 KommentareN3cronomiconWin 11 24H2 - Vertrauensstellung zur Domäne verlorenN3cronomicon - 18 KommentaremichifsFirewall Migration - Hilfe zum Thema Routingmichifs - 18 KommentareFluxkondensatorNeue WLAN Lösung für KMUFluxkondensator - 18 KommentareCoreknabeWo bezieht Ihr Eure LWL-Kabel?Coreknabe - 16 KommentarecoltseaversMicrosoft-Kontoregistrierung schlägt fehlcoltseavers - 15 Kommentarecirrus7VLAN DHCP Problemcirrus7 - 13 Kommentare