somebodytolove
Goto Top

RemoteApp Rollout inkl. SSO

Hallo,

ich bin am verzweifeln mit meinen RemoteApps.
In meinem alten System hat die Konfiguration einwandfrei funktioniert und ich habe auch das Internet schon hoch und runter gesucht, aber habe leider keine Lösung gefunden.
Deshalb versuche ich euch mein Problem kurz zu schildern und hoffe es hat jemand noch eine Idee was ich übersehen habe.

Also folgende Situation:

Ich habe zwei RDS Server, auf beiden habe ich die Remote Access und auf einen den RD-Verbindungsbroker aktiviert.
Außerdem verwende ich für beide Server ein Wildcard Zertifikat mit *.ad.MeineFirma.de.
Ich habe kein RDS-Gateway aktiv, da ich die Server nicht von außen erreichen möchte.
Zusätzlich habe ich mir für den Verbindungsbroker noch einen DNS Eintrag generiert "rds-farm.ad.meineFirma.de" diesen möchte ich dann für den WebAccess und für die RemoteApps verwenden.


Die GPO´s für Single Sign On habe ich soweit alle konfiguriert, über den Browser (IE und Edge) kann ich auch via SSO auf meinen WebAccess zugreifen. (https://rds-farm.ad.meineFirma.de) wenn ich darüber eine RemoteApp starte funktioniert das Verbinden via SSO auch einwandfrei. Wenn ich mich direkt über meinen User via RDP auf meine Farm verbinde funktioniert ebenfalls SSO.

Jetzt zu meinen Problem:

Zusätzlich möchte ich die RemoteApps via GPO verteilen, diese GPO habe ich auch eingerichtet (Standardverbindungs-URL: https://rds-farm.ad.meineFirma.de/rdweb/Feed/webfeed.aspx)

Nur es kommt einfach nichts beim Client an, also ich finde den Eintrag in meiner Registry aber es wird keine Verbindung unter "RemoteApp- und Desktopverbindungen" angezeigt.
Wenn ich die Verbindung manuell einrichten möchte, dann erhalte ich immer die Meldung "Mit den Anmeldeinformationen konnte keine Verbindung hergestellt werden.".
2021-10-25 13_13_46-windows

Ich vermute hier einen Zusammenhang, allerdings finde ich einfach keinen Fehler in meiner Konfiguration. Eventuell fällt ja hier jemanden etwas ins Auge.

Hier meine GPO´s:

Computer:
2021-10-25 13_16_29 - remotedesktopverbindung

2021-10-25 13_16_53- remotedesktopverbindung


Benutzer:


2021-10-25 13_26_20-remotedesktopverbindung
2021-10-25 13_24_32-remotedesktopverbindung
2021-10-25 13_23_21-remotedesktopverbindung

Content-ID: 1428818479

Url: https://administrator.de/contentid/1428818479

Ausgedruckt am: 04.11.2024 um 22:11 Uhr

Dani
Lösung Dani 25.10.2021 um 18:55:24 Uhr
Goto Top
Moin,
Ich habe zwei RDS Server, auf beiden habe ich die Remote Access und auf einen den RD-Verbindungsbroker aktiviert.
wieso hast du die Rolle RDS Web Access zweimal installiert?
Wie steuerst du, welche Instanz der zugreifender Client nutzt?
Welches Betriebssystem kommt zum Einsatz?

Ich habe kein RDS-Gateway aktiv, da ich die Server nicht von außen erreichen möchte.
Heutzutage spielt sich Sicherheit auch im LAN ab. Daher kann man durch aus ein RDS Gateway im LAN einsetzen. Zumal mal meistens in dieser Kombination auch RDS Web Access installiert.

Nur es kommt einfach nichts beim Client an, also ich finde den Eintrag in meiner Registry aber es wird keine Verbindung unter "RemoteApp- und Desktopverbindungen" angezeigt.
Welches Betriebssystem wird auf dem Client genutzt?

Auf welche IP-Adresse welches Servers zeigt der FQDN oder nutzt du DNS Round Robin?


Gruß,
Dani
SomebodyToLove
SomebodyToLove 26.10.2021 um 08:43:10 Uhr
Goto Top
Hallo,

Zitat von @Dani:

Moin,
Ich habe zwei RDS Server, auf beiden habe ich die Remote Access und auf einen den RD-Verbindungsbroker aktiviert.
wieso hast du die Rolle RDS Web Access zweimal installiert?
Wie steuerst du, welche Instanz der zugreifender Client nutzt?
Welches Betriebssystem kommt zum Einsatz?


- Ich dachte ich installiere noch einen zusätzlichen RDS Web Access falls der erste Server ausfällt, denn sonst würden ja auch keine RemoteApps mehr funktionieren.
- Auf welchen Server der Client connected steuert mein Verbindungsbroker, beide Server haben die gleiche Gewichtung.
- Auf den Clients kommt Windows 10 (Version 20H2) zum Einsatz die Server laufen alle auf Windows Server 2019 (aktueller Patch stand)

Ich habe kein RDS-Gateway aktiv, da ich die Server nicht von außen erreichen möchte.
Heutzutage spielt sich Sicherheit auch im LAN ab. Daher kann man durch aus ein RDS Gateway im LAN einsetzen. Zumal mal meistens in dieser Kombination auch RDS Web Access installiert.


Okay, das klingt vernünftig. Ich werde das RDS Gateway mal konfigurieren und schaue danach ob es vielleicht deshalb bei mir gehakt hat.

Nur es kommt einfach nichts beim Client an, also ich finde den Eintrag in meiner Registry aber es wird keine Verbindung unter "RemoteApp- und Desktopverbindungen" angezeigt.
Welches Betriebssystem wird auf dem Client genutzt?


- Windows 10

Auf welche IP-Adresse welches Servers zeigt der FQDN oder nutzt du DNS Round Robin?


Aktuell verweist die IP auf meinen Verbindungsbroker, wenn ich alles richtig verstanden habe würde mit nur einen Verbindungsbroker ein Round Robin keinen Sinn ergeben da man sich nicht direkt auf den RDS Server verbinden kann bzw. nur mit "mstsc /admin" .
Mich wundert eben das ich sowohl über https als auch einer direkten RDP Verbindung direkt auf meine Remotedesktopserver komme und SSO einwandfrei funktioniert.
Nur bei den RemoteApps funktioniert die GPO nicht um die URL automatisch einzutragen und wenn ich den Weg manuell gehe fragt er immer nach Benutzername und Passwort.

Gestern habe ich noch versucht meine Credentials zu speichern und mir das gespeicherte dann im Anmeldetresor von Windows anzusehen, der Server steht genau so drinnen wie ich ihn in meinen Gruppenrichtlinien erlaubt habe die Anmeldedaten weiterzugeben. Mein Benutzername und Password ist auch dasselbe. Nach dem speichern funktioniert natürlich auch jegliche App ohne erneut die Anmeldeinformationen einzugeben.

Ich verstehe es nicht face-smile

Vielen Dank soweit für deine Hilfe.

Grüße
Somebody
Dani
Lösung Dani 07.11.2021 um 21:04:56 Uhr
Goto Top
Moin,
Ich dachte ich installiere noch einen zusätzlichen RDS Web Access falls der erste Server ausfällt, denn sonst würden ja auch keine RemoteApps mehr funktionieren.
das bringt dir nur was, wenn du auch den RDS Connection Broker redundant auslegst.

Ich habe heute Abend endlich Zeit gefunden, deine GPOs zu vergleichen. Und folgende Vorschläge:
  • Alle Richtlinien, welche NTLM im Namen haben, kannst du wieder dekonfigurieren.
  • Warum steht in der Richtlinie "Delegieren von Standardanmeldeinformationen zulassen" drei Einträge drin?
  • Die Richtlinie "SHA1-Fingerabdrücke..." nicht im Benutzer- sondern Computerkontext für die Clients konfigurieren?
  • Warum steht in der Richtlinie "SHA1-Fingerabdrücke..." nur eine Fingerprint drin. Nutzt du ein und das gleiche SSL-Zertifikat für beide RD WebAccss bzw. Connection Broker?

Wenn ich die Verbindung manuell einrichten möchte, dann erhalte ich immer die Meldung "Mit den Anmeldeinformationen konnte keine Verbindung hergestellt werden.".
Heißt einer deiner Server rds-farm.ad.xxx.yy oder ist das "nur" ein CNAME-Eintrag im DNS? Wenn letzters zu trifft, bitte den CNAME Eintag im DNS bzw. DNS-Zone löschen und als A-Einträge neu anlegen.


Gruß,
Dani
SomebodyToLove
SomebodyToLove 08.11.2021 um 14:34:58 Uhr
Goto Top
Hallo Dani,

vielen Dank für deine Antwort.

Zitat von @Dani:

  • Warum steht in der Richtlinie "Delegieren von Standardanmeldeinformationen zulassen" drei Einträge drin?
Ich habe dort den Server 1, den Server 2 und den Farmnamen eingetragen.
* Die Richtlinie "SHA1-Fingerabdrücke..." nicht im Benutzer- sondern Computerkontext für die Clients konfigurieren?
Ich habe es jetzt als Computer GPO umgesetzt
* Warum steht in der Richtlinie "SHA1-Fingerabdrücke..." nur eine Fingerprint drin. Nutzt du ein und das gleiche SSL-Zertifikat für beide RD WebAccss bzw. Connection Broker?

Ich habe mir ein Wildcard Zertifikat geholt *.ad.mycomp.de
Wenn ich die Verbindung manuell einrichten möchte, dann erhalte ich immer die Meldung "Mit den Anmeldeinformationen konnte keine Verbindung hergestellt werden.".
Heißt einer deiner Server rds-farm.ad.xxx.yy oder ist das "nur" ein CNAME-Eintrag im DNS? Wenn letzters zu trifft, bitte den CNAME Eintag im DNS bzw. DNS-Zone löschen und als A-Einträge neu anlegen.

Leider war es schon ein A Record welcher auf meinen Verbindungsbroker zeigt.

Gruß,
Dani

Aber letzten Endes scheint es bei allen Benutzern zu funktionieren außer bei mir... Und bei mir habe ich es natürlich die ganze Zeit getestet.
Leider teste ich zu viel mit meinen persönlichen Nutzer, deshalb könnte es schon sein das da irgendetwas verbogen ist.
Nach weiteren Tests hatte ich die GPO allerdings mal für die IT Abteilung ausgerollt und die RemoteApps wurden sauber an alle verteilt.
An was es jetzt liegt warum es bei mir nicht klappt, habe ich nicht mehr herausgefunden. Allerdings war mit das dann auch relativ egal da ich mir ja auch anders helfen kann. Solange es bei Max Mustermann funktioniert bin ich erstmal happy.

Tausend Dank noch einmal für deine Hilfe.

Grüße
Somebody