7
Windows Server 2008 R2 RemoteApp Single Sign On?
Hallo zusammen,
ich bin grad dabei einen Windows Server 2008 R2 Terminalserver aufzusetzen. Prinzipiell möchten wir auch das RemoteApp-Feature nutzen, also dass man nur noch einzelne Anwendungen für die User exportiert anzeigt.
Es gibt ja dazu das Webinterface (https://servername/RDWeb) über das man diese dann starten kann. Nun gibt es aber eine große unkomfortable Sache: Jedesmal wenn ich auf die Webseite gehe, muss ich mich mit meinen Domänen-Daten einloggen. Wenn ich dann ein RemoteApp-Programm starten, kommt erneut die Abfrage. Daran noch schlimmer: In dem Fenster ist nicht die Domäne ausgewählt bzw. irgendwie eingetragen. 95% unserer User würden nicht von alleine darauf kommen, domäne\benutzername da rein zu schreiben.
Wie kann man es nun machen, dass der IE direkt sich mit den Domänen-Daten an das RDWeb anmeldet (sollte ja dank Kerberos gehen... bei bspw. Outlook WebExchange gehts ja auch) und dann vor allem nicht nochmal nachfragt wenn man dann ein RemoteApp startet...
Google und ein dickes Server 2008-Buch (von galileocomputing) haben mir nich geholfen.
Danke & Gruß
ich bin grad dabei einen Windows Server 2008 R2 Terminalserver aufzusetzen. Prinzipiell möchten wir auch das RemoteApp-Feature nutzen, also dass man nur noch einzelne Anwendungen für die User exportiert anzeigt.
Es gibt ja dazu das Webinterface (https://servername/RDWeb) über das man diese dann starten kann. Nun gibt es aber eine große unkomfortable Sache: Jedesmal wenn ich auf die Webseite gehe, muss ich mich mit meinen Domänen-Daten einloggen. Wenn ich dann ein RemoteApp-Programm starten, kommt erneut die Abfrage. Daran noch schlimmer: In dem Fenster ist nicht die Domäne ausgewählt bzw. irgendwie eingetragen. 95% unserer User würden nicht von alleine darauf kommen, domäne\benutzername da rein zu schreiben.
Wie kann man es nun machen, dass der IE direkt sich mit den Domänen-Daten an das RDWeb anmeldet (sollte ja dank Kerberos gehen... bei bspw. Outlook WebExchange gehts ja auch) und dann vor allem nicht nochmal nachfragt wenn man dann ein RemoteApp startet...
Google und ein dickes Server 2008-Buch (von galileocomputing) haben mir nich geholfen.
Danke & Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 148242
Url: https://administrator.de/contentid/148242
Ausgedruckt am: 25.11.2024 um 17:11 Uhr
7 Kommentare
Neuester Kommentar
SSO ist möglich, seit Vista. XP müsstest du in Sachen RDP auf die neueste Version updaten. Wozu ein Webinterface? Das Webinterface ist nur für die TS-Gateway-Funktion interessant.
http://blogs.msdn.com/b/rds/archive/2007/04/19/how-to-enable-single-sig ...
http://blogs.technet.com/b/pfe-ireland/archive/2008/09/05/windows-serve ...
http://blogs.msdn.com/b/rds/archive/2007/04/19/how-to-enable-single-sig ...
http://blogs.technet.com/b/pfe-ireland/archive/2008/09/05/windows-serve ...
Hi,
danke für die Antwort.
Hab es genau so eingestellt wie da beschrieben (nur dass ich die Delegierung nicht über lokale Gruppenrichtlinien aktiviere - geht eh nicht - sondern über unsere Domänengruppenrichtlinie - dürfte aber doch kein Unterschied sein?) - klappt aber nicht. Ich bekomme immer noch die Passwortabfrage.
Wegen dem Webinterface: Wegen den Remoteapps...
danke für die Antwort.
Hab es genau so eingestellt wie da beschrieben (nur dass ich die Delegierung nicht über lokale Gruppenrichtlinien aktiviere - geht eh nicht - sondern über unsere Domänengruppenrichtlinie - dürfte aber doch kein Unterschied sein?) - klappt aber nicht. Ich bekomme immer noch die Passwortabfrage.
Wegen dem Webinterface: Wegen den Remoteapps...
Remoteapps kannst du auch ohne das Webinterface zur Verfügung stellen.
Die Registry-Einstellungen wirken sich erst nach einem Reboot aus (oder waren es 2?).
Die Registry-Einstellungen wirken sich erst nach einem Reboot aus (oder waren es 2?).
Hi, ich weiss dass das auch über MSI-Pakete oder RDP-Dateien geht, aber es geht mir ums Prinzip des SSO auch am Webinterface (was der IE ja können sollte).
Ich habe mehrfach neugestartet...
Nur zum Verständnis: Muss ich evtl. beim ersten Mal noch das Passwort eingeben und kann dann den Haken "Anmeldedaten speichern" nutzen? Oder ist es ein richtiges SSO und ich müsste auch beim ersten Mal nicht diesen Haken setzen?
Ich habe mehrfach neugestartet...
Nur zum Verständnis: Muss ich evtl. beim ersten Mal noch das Passwort eingeben und kann dann den Haken "Anmeldedaten speichern" nutzen? Oder ist es ein richtiges SSO und ich müsste auch beim ersten Mal nicht diesen Haken setzen?
Das habe ich auf den Workstations gemacht:
Die Zeilen 8-9 musst du anpassen. Diese Einstellung ist nur auf XP-Rechnern notwendig.
Führe auf dem TS rsop.msc aus, dann weißt du, ob die GPO greift.
Der IIS bzw. das Webinterface sollte Domänen-Benutzer automatisch erkennen (die Rechte hast du schon gesetzt. nehme ich an). Was passiert, wenn du einen Benutzer angibst anstatt Benutzergruppen?
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation]
"AllowDefaultCredentials"=dword:00000001
"ConcatenateDefaults_AllowDefault"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials]
"1"="termsrv/*.deine.domaene.local"
"2"="termsrv/WINS-Servername"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Security Packages"=hex(7):6b,00,65,00,72,00,62,00,65,00,72,00,6f,00,73,00,00,\
00,6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,73,00,63,00,68,00,61,00,6e,00,\
6e,00,65,00,6c,00,00,00,77,00,64,00,69,00,67,00,65,00,73,00,74,00,00,00,74,\
00,73,00,70,00,6b,00,67,00,00,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,credssp.dll" Die Zeilen 8-9 musst du anpassen. Diese Einstellung ist nur auf XP-Rechnern notwendig.
Hab es genau so eingestellt wie da beschrieben (nur dass ich die Delegierung nicht über lokale Gruppenrichtlinien aktiviere - geht eh nicht - sondern über unsere Domänengruppenrichtlinie - dürfte aber doch kein Unterschied sein?)
Führe auf dem TS rsop.msc aus, dann weißt du, ob die GPO greift.
Der IIS bzw. das Webinterface sollte Domänen-Benutzer automatisch erkennen (die Rechte hast du schon gesetzt. nehme ich an). Was passiert, wenn du einen Benutzer angibst anstatt Benutzergruppen?
Hi,
laut gpresult und rsop.msc werden auf den Clients (dort muss doch die Delegierungsrichtlinie ziehen!) angewandt.
Mein Client ist ein Windows7 Client.
Trotzdem ist es immer noch so, dass ich wenn ich mstsc starte und dann den Server eintippe, den ich auch in der Richtlinie ausgewählt habe (termsrv/eevs20), ich immer noch nach einem Passwort und Username gefragt werde.
Als Beispiel, so sieht mein RDP-Client aus: http://www.abload.de/image.php?img=mstsc78zn.jpg
laut gpresult und rsop.msc werden auf den Clients (dort muss doch die Delegierungsrichtlinie ziehen!) angewandt.
Mein Client ist ein Windows7 Client.
Trotzdem ist es immer noch so, dass ich wenn ich mstsc starte und dann den Server eintippe, den ich auch in der Richtlinie ausgewählt habe (termsrv/eevs20), ich immer noch nach einem Passwort und Username gefragt werde.
Als Beispiel, so sieht mein RDP-Client aus: http://www.abload.de/image.php?img=mstsc78zn.jpg
Neue Woche, neues Glück. Kann mir irgendwer noch helfen? :D
