RemoteApp Rollout inkl. SSO
Hallo,
ich bin am verzweifeln mit meinen RemoteApps.
In meinem alten System hat die Konfiguration einwandfrei funktioniert und ich habe auch das Internet schon hoch und runter gesucht, aber habe leider keine Lösung gefunden.
Deshalb versuche ich euch mein Problem kurz zu schildern und hoffe es hat jemand noch eine Idee was ich übersehen habe.
Also folgende Situation:
Ich habe zwei RDS Server, auf beiden habe ich die Remote Access und auf einen den RD-Verbindungsbroker aktiviert.
Außerdem verwende ich für beide Server ein Wildcard Zertifikat mit *.ad.MeineFirma.de.
Ich habe kein RDS-Gateway aktiv, da ich die Server nicht von außen erreichen möchte.
Zusätzlich habe ich mir für den Verbindungsbroker noch einen DNS Eintrag generiert "rds-farm.ad.meineFirma.de" diesen möchte ich dann für den WebAccess und für die RemoteApps verwenden.
Die GPO´s für Single Sign On habe ich soweit alle konfiguriert, über den Browser (IE und Edge) kann ich auch via SSO auf meinen WebAccess zugreifen. (https://rds-farm.ad.meineFirma.de) wenn ich darüber eine RemoteApp starte funktioniert das Verbinden via SSO auch einwandfrei. Wenn ich mich direkt über meinen User via RDP auf meine Farm verbinde funktioniert ebenfalls SSO.
Jetzt zu meinen Problem:
Zusätzlich möchte ich die RemoteApps via GPO verteilen, diese GPO habe ich auch eingerichtet (Standardverbindungs-URL: https://rds-farm.ad.meineFirma.de/rdweb/Feed/webfeed.aspx)
Nur es kommt einfach nichts beim Client an, also ich finde den Eintrag in meiner Registry aber es wird keine Verbindung unter "RemoteApp- und Desktopverbindungen" angezeigt.
Wenn ich die Verbindung manuell einrichten möchte, dann erhalte ich immer die Meldung "Mit den Anmeldeinformationen konnte keine Verbindung hergestellt werden.".
Ich vermute hier einen Zusammenhang, allerdings finde ich einfach keinen Fehler in meiner Konfiguration. Eventuell fällt ja hier jemanden etwas ins Auge.
Hier meine GPO´s:
Computer:
Benutzer:
ich bin am verzweifeln mit meinen RemoteApps.
In meinem alten System hat die Konfiguration einwandfrei funktioniert und ich habe auch das Internet schon hoch und runter gesucht, aber habe leider keine Lösung gefunden.
Deshalb versuche ich euch mein Problem kurz zu schildern und hoffe es hat jemand noch eine Idee was ich übersehen habe.
Also folgende Situation:
Ich habe zwei RDS Server, auf beiden habe ich die Remote Access und auf einen den RD-Verbindungsbroker aktiviert.
Außerdem verwende ich für beide Server ein Wildcard Zertifikat mit *.ad.MeineFirma.de.
Ich habe kein RDS-Gateway aktiv, da ich die Server nicht von außen erreichen möchte.
Zusätzlich habe ich mir für den Verbindungsbroker noch einen DNS Eintrag generiert "rds-farm.ad.meineFirma.de" diesen möchte ich dann für den WebAccess und für die RemoteApps verwenden.
Die GPO´s für Single Sign On habe ich soweit alle konfiguriert, über den Browser (IE und Edge) kann ich auch via SSO auf meinen WebAccess zugreifen. (https://rds-farm.ad.meineFirma.de) wenn ich darüber eine RemoteApp starte funktioniert das Verbinden via SSO auch einwandfrei. Wenn ich mich direkt über meinen User via RDP auf meine Farm verbinde funktioniert ebenfalls SSO.
Jetzt zu meinen Problem:
Zusätzlich möchte ich die RemoteApps via GPO verteilen, diese GPO habe ich auch eingerichtet (Standardverbindungs-URL: https://rds-farm.ad.meineFirma.de/rdweb/Feed/webfeed.aspx)
Nur es kommt einfach nichts beim Client an, also ich finde den Eintrag in meiner Registry aber es wird keine Verbindung unter "RemoteApp- und Desktopverbindungen" angezeigt.
Wenn ich die Verbindung manuell einrichten möchte, dann erhalte ich immer die Meldung "Mit den Anmeldeinformationen konnte keine Verbindung hergestellt werden.".
Ich vermute hier einen Zusammenhang, allerdings finde ich einfach keinen Fehler in meiner Konfiguration. Eventuell fällt ja hier jemanden etwas ins Auge.
Hier meine GPO´s:
Computer:
Benutzer:
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1428818479
Url: https://administrator.de/contentid/1428818479
Ausgedruckt am: 04.11.2024 um 22:11 Uhr
4 Kommentare
Neuester Kommentar
Moin,
Wie steuerst du, welche Instanz der zugreifender Client nutzt?
Welches Betriebssystem kommt zum Einsatz?
Gruß,
Dani
Ich habe zwei RDS Server, auf beiden habe ich die Remote Access und auf einen den RD-Verbindungsbroker aktiviert.
wieso hast du die Rolle RDS Web Access zweimal installiert?Wie steuerst du, welche Instanz der zugreifender Client nutzt?
Welches Betriebssystem kommt zum Einsatz?
Ich habe kein RDS-Gateway aktiv, da ich die Server nicht von außen erreichen möchte.
Heutzutage spielt sich Sicherheit auch im LAN ab. Daher kann man durch aus ein RDS Gateway im LAN einsetzen. Zumal mal meistens in dieser Kombination auch RDS Web Access installiert. Nur es kommt einfach nichts beim Client an, also ich finde den Eintrag in meiner Registry aber es wird keine Verbindung unter "RemoteApp- und Desktopverbindungen" angezeigt.
Welches Betriebssystem wird auf dem Client genutzt?Standardverbindungs-URL: https://rds-farm.ad.meineFirma.de/rdweb/Feed/webfeed.aspx)
Auf welche IP-Adresse welches Servers zeigt der FQDN oder nutzt du DNS Round Robin?Gruß,
Dani
Moin,
Ich habe heute Abend endlich Zeit gefunden, deine GPOs zu vergleichen. Und folgende Vorschläge:
Gruß,
Dani
Ich dachte ich installiere noch einen zusätzlichen RDS Web Access falls der erste Server ausfällt, denn sonst würden ja auch keine RemoteApps mehr funktionieren.
das bringt dir nur was, wenn du auch den RDS Connection Broker redundant auslegst.Ich habe heute Abend endlich Zeit gefunden, deine GPOs zu vergleichen. Und folgende Vorschläge:
- Alle Richtlinien, welche NTLM im Namen haben, kannst du wieder dekonfigurieren.
- Warum steht in der Richtlinie "Delegieren von Standardanmeldeinformationen zulassen" drei Einträge drin?
- Die Richtlinie "SHA1-Fingerabdrücke..." nicht im Benutzer- sondern Computerkontext für die Clients konfigurieren?
- Warum steht in der Richtlinie "SHA1-Fingerabdrücke..." nur eine Fingerprint drin. Nutzt du ein und das gleiche SSL-Zertifikat für beide RD WebAccss bzw. Connection Broker?
Wenn ich die Verbindung manuell einrichten möchte, dann erhalte ich immer die Meldung "Mit den Anmeldeinformationen konnte keine Verbindung hergestellt werden.".
Heißt einer deiner Server rds-farm.ad.xxx.yy oder ist das "nur" ein CNAME-Eintrag im DNS? Wenn letzters zu trifft, bitte den CNAME Eintag im DNS bzw. DNS-Zone löschen und als A-Einträge neu anlegen.Gruß,
Dani