SSO-Zugriff per VPN und ohne Gateway auf RDS-Farm möglich?

Danke für die schnelle Antwort.
Ja klar kann man die RDP-Verbindungen 'speichern unter' und dann manupulieren und auf dem Desktop ablegen.
Da wir aber kein Zugriff auf die Clients haben, und dies auch nicht zentral gesteuert werden kann, entfällt diese Lösung für uns.

Ich habe jetzt 'Blut' gerochen weil das AD-intern so gut mit SSO geklappt hat und ich das Gleiche nun für die HomeOffice-User mit Priovat-Clients haben möchte.

Da stellt sich mir die Frage
1. Geht das ohne RD Gateway? Wenn ja, wie?
2. Wenn nein: geht das dann überhaupt auch mit RD Gateway? Wenn ja, wie?

Ohne den Link gesehen zu haben vermute ich jetzt mal: ja, das geht so und der RD Gateway istgenau für sowas erfunden worden? Schaue ich mir mal morgen bei der Arbeit an... (den Link)

Der Zugriff unterschiedet sich nicht, die Domänen-Mitgliedschaften der Clients schon. Die Privaten PCs zu Hause (also nicht die Notebooks der Firma zu Hause bei den Aussendienstler) sind kein Mitglied der Firmen-Domäne, die Geräte im LAN sind Mitglieder.
Die Domänen-Mitglieder bekommen die GPO, sie können den angemeldeten User weitergeben an SSO-Mechanismen. Die Nicht-Domänen-Mitglieder eben nicht.
Soiel zu den Unterschieden. Aber die Lösung ist ja wohl dann ein RD-gateway oder damit leben müssen daß man sich eben nochmals anmelden muss nachdem man auf dem RDWeb sich angemeldet hatte... ich hatte gehofft der RDWebAccess könnte das der RDP-Verbindung mitgeben, das ist wohl nicht möglich...

Verstehe die Frage jetzt nicht ganz?
Die User melden sich per VPN in unser Netzwerk ein (Zufällig per LDAP -> FW kann aber auch eigene Benutzerverwaltung nutzen).
Früher haben sie dann ein RDP-Verknüpfung auf dem Desktop gestartet um sich dann auf den Terminalserver einzuloggen mit den Domänen-Zugangsdaten.
Jetzt ist es aber so daß dies so nicht geht sondern die User sich auf dem RD WebAccess-Server anmelden sollen damit der Connectionbroker dort die Verbindungen verwaltet/zuteilt usw.. Also müssen Die User sich erst auf dem RD-WebAccess-Server anmlenden. Ebenfalls mit den Domänen-Logindaten. Erst von dort aus, nachdem sie dort den RDP (auf dieser Webseite) gestartet haben, melden sie sich eben noch ein letztes Mal mit ihren Domänen-Anmeldedaten auf den SessionHost ein.

Also:
Anmeldung an VPN -> Anmeldung an RD-Webaccess -> Anmeldunf an RD-SessionHost.

Das sind 3x die gleiche Anmeldung (VPN ist ein wnig gesondern zui betrachten da LDAP und unumgänglich).

Was ich gerne haben wollen würde ist:
Anmeldung an VPN -> Anmeldung an RD-WebAccess -> RDP öffnen und nutzen ohne eine weitere Anmeldung.


Aber ich glaube jetzt verstanden zu haben daß dies so nicht geht ohne RD Gatweway. Richtig?


Ich habe aber ein weiteres Problem:
Die User die das gestern von ihren privaten PCs aus getestet haben, konnten sich zwar anmelden und alles nutzen. Ein Blick auf die Verwaltung des RD-Lizenzierungsservers zeigt aber daß diese User keine RDS-Lizenzen zugewiesen bekommen haben!
Wie ist das möglich? Diese User haben keinen Hinweis bekommen "das sie in 120 Tagen sich nicht mehr anmelden werden können und daß sie eine Testversion nutzen"?

Was läuft hier schief? Muss ich für dieses Problem etwa doch den RD Gateway-Server aufsetzen?

Meine Vermutung ist nämlich:
Da User-RDS-CALS braucht es Domänen-Clients und darauf angemeldete Domänen-User damit eine CAL zugewiesen wird.
Ist der Client nicht Domänen-Mitglied, geht es einfach nicht. Egal ob man sich dann mit der Domänen-Anmeldung am RD WebAccess und danach noch im RDP verbunden hat. Richtig?

Was heisst das dann für mich? Ich lege eine RDP-Verbingung auf dem Desktop ab und schwups müssen sich die User nicht mehr am RD-WebAccess mehr anmelden und das Managen des Verbindungsbrokers geht weiterhin weil die RDP so konfiguriert ist (also die aus dem RDWebAccess herunterladen pro User auf deren Desktop?)?
Ist Aktiviert und Registriert und User-CALs sind vorhanden und alles auf grün. 4 Stück wurden schon verbraucht. Alle Testpersonen die sich aus der Domäne aus eingeloggt haben auf den RDS. Alle die sich von ihren eigenen 'Privat-PCs' (oder Notebooks) angemeldet haben, haben keine Benutzer-CAL gezogen.


Natürlich sind das User-CALS und nicht vom Computer abhängig.
Nur wie ein User erkannt wird dem man dann eine CAL zuordnen kann ist ja hier die Frage, oder?
Kommt ein Privat-PC per VPN rein ist er kein Domänen-Mitglied. Wo und wann wird dem User die Cal zugeweisen? Sobald er die RDP-Verbindung startet?

Wie ich darauf komme? Ich sehe im "Remotedesktoplizenzierungs-Manager'
Alle Server
-> SRV-RDS (ist der Lizenzierungs-, Connection-Broker und RDWebAccess-Server)
-> Windows 2000 Server - Integrierte TS-CAL vom Typ "Pro Gerät"
-> Windows Server 2016 - Installierte "Pro Benutzer"-RDS-CAL
-> Auflistung der Ausgestellten CALS -> Ausgestellt für: "Firma.local\Username" | Ausgestellt am: ... | Gültig bis.. | Status: Aktiv
-> Berichte


So, mein Augenmerk liegt bei 'Ausgestellt für':
Der User ist ja ein Domänen-User. Wenn der sich aber nicht aus der Domäne anmeldet -> wird die CAL dem User trotzdem zugeweisen? Er hat zwar seine Credentials in der RDP-Verbindung angegeben, aber reicht das oder muss das aus der Domäne heruas passiert sein?
Wie gesagt: ich habe jetzt ein paar User die sich gestern Abend von zu Hause von Privat-Clients aus angemeldet haben und es auch konnten. Juckt den Lizenzierungsserver aber gar nicht? Es gab auch keien Meldung das es 'Evaluation-Mode" ist o.ä.?
Der Lizenzierungsserver ist im Manager übwerall grün. Er wurde korrekt installiert, registriert und aktiviert. Sonst hätte ich die CALS ja gar nicht installieren und validieren können UND die ersten 4 wären ja nicht bereits verbraten worden.

Nachtrag: ich habe mich gerade mit dem User von gestern angemeldet gehabt welcher keine CAL gezogen hat. Der macht das auch nicht aus der Domäne?!? Was kann da schief gelaufen sein? Lizenzserver scheint ja i.O. zu sein da alles auf grün und es bereits getan hat?

Und noch ein Nachtrag:
ich habe jetzt einen weiteren User getestet und der hat wiederrum ganz normal eine CAL gezogen?

Dann habei ch noch einen User getestet und der hat wieder kein CAL gezogen????

Und wo finde ich das? Welches Objekt ist hier gemeint?