Windows Server 2012R2 Remote-Apps zeigen auf den Clients falsche Einträge an, Fullsession vs. Remote Apps, SAN-Zertifikate mit AD-CA
Hallo erstmal!
Ich habe das Netz schon durchsucht, bin aber bislang irgendwie nie dort angekommen, wo ich hin muss
Ich habe bei einem Kunden eine Win2012R2 TS-Farm installiert, bestehend aus 2 Servern, wovon einer bis auf das RD-Gateway alle Rollen hat und der andere RD-Sitzungshost ist. Bei der Einrichtung gab es das ein oder andere hin und her, wodurch vermutlich der o.g. Fehler entstanden ist. Ich hab aber keine Ahnung, wo ich weiter suchen könnte...
Auf der Farm ist mit dem Assistenten in der letzten Version nun eine Sammlung freigegeben worden, die ich im Nachgang bearbeitet habe und über beide Server verteile. Soweit so gut, die Anwendungen werden auf den Clients, wo ich die Remote-App Verbindung in der Systemsteuerung eingetragen habe auch angezeigt, allerdings sehe ich - obwohl nur einmal freigegeben - den Adobe Reader seltsamerweise doppelt. Einer davon verweist allerdings auf eine ältere Sammlung, die ich während der Testphase einmal angelegt hatte und die es gar nicht mehr gibt - sprich: dieses Icon bringt nur eine Fehlermeldung, sonst nichts.
Dies wäre erst mal das dringendste Problem.
Da wir auf dem Server wegen Zertifikatsproblemen, bzw. zwei voneinander unabhängigen Domains nicht mit den Remote-Apps arbeiten können haben wir aktuell die Verbindungen als "klassische Full-Sessions" konfiguriert. (Clients in Domäne A, angebunden via VPN an Domäne B, es soll kein Trust oder manueller Zertifikatsimport erfolgen, öffentliches Zertifikat ist noch auf der ToDo...)
Um die Sache Full-Session / Remote Apps besser voneinander zu trennen hatte ich mir jetzt gedacht, ich erstelle eine zweite Gruppe, erlaube die Remoteanmeldung nur für diese Gruppe auf beiden Servern über System/Remote mit einem zweiten Eintrag. Das Ende vom Lied war aber, dass sich ein paar User sehr wohl verbinden konnten, einige jedoch nicht. Bei den Remote-Apps habe ich in Domäne B je Applikation eine eigene AD-Gruppe, diese Gruppen sind alle Mitglied einer Obergruppe "Remote-Apps". Verbinden zum Server dürfen sich alle Remote-Apps Mitglieder, in den App-Gruppen wird dann festgelegt, wer was sehen darf. Klappt mit Remote-App auch soweit bis auf das genannte Adobe Reader Problem.
Frage hierzu wäre, wo ist der Denkfehler bzgl. der Unterscheidung in Remote-App Gruppe und FullSession-Gruppe. Ist das überhaupt möglich? Ich meine bei meinen Recherchen irgendwo gelesen zu haben, dass der RD-Server da nicht unterscheidet und FullSession User auch nur die Anwendungen der Sammlung aufmachen dürften. Getestet habe ich das aber noch nicht...
Für das letzte i-Tüpfelchen müsste ich jetzt noch wissen, wie ich das mit den SAN-Zertifikaten regle. Ich habe mir über die AD-CA ein Zertifikat für den TS1 ausstellen lassen und in seinem IIS eingebunden. Damit die Lastverteilung aber richtig funktioniert muss ich doch wenigstens noch den zweiten Namen mit in das Zertifikat bekommen. Hatte bislang noch nicht all zu viel mit Zertifikaten zu tun und stell mich da irgendwie zu blöd an. Kann man und wenn ja wie in der AD-CA Zertifikate für mehr als einen Servernamen ausstellen? Ich kenns zwar prinzipiell vom Exchange, der erstellt aber seine eigene Zertifikatsanforderung, die ich dann an die CA einreiche und gut war's.
Danke schon mal im Voraus!
Ich habe das Netz schon durchsucht, bin aber bislang irgendwie nie dort angekommen, wo ich hin muss
Ich habe bei einem Kunden eine Win2012R2 TS-Farm installiert, bestehend aus 2 Servern, wovon einer bis auf das RD-Gateway alle Rollen hat und der andere RD-Sitzungshost ist. Bei der Einrichtung gab es das ein oder andere hin und her, wodurch vermutlich der o.g. Fehler entstanden ist. Ich hab aber keine Ahnung, wo ich weiter suchen könnte...
Auf der Farm ist mit dem Assistenten in der letzten Version nun eine Sammlung freigegeben worden, die ich im Nachgang bearbeitet habe und über beide Server verteile. Soweit so gut, die Anwendungen werden auf den Clients, wo ich die Remote-App Verbindung in der Systemsteuerung eingetragen habe auch angezeigt, allerdings sehe ich - obwohl nur einmal freigegeben - den Adobe Reader seltsamerweise doppelt. Einer davon verweist allerdings auf eine ältere Sammlung, die ich während der Testphase einmal angelegt hatte und die es gar nicht mehr gibt - sprich: dieses Icon bringt nur eine Fehlermeldung, sonst nichts.
Dies wäre erst mal das dringendste Problem.
Da wir auf dem Server wegen Zertifikatsproblemen, bzw. zwei voneinander unabhängigen Domains nicht mit den Remote-Apps arbeiten können haben wir aktuell die Verbindungen als "klassische Full-Sessions" konfiguriert. (Clients in Domäne A, angebunden via VPN an Domäne B, es soll kein Trust oder manueller Zertifikatsimport erfolgen, öffentliches Zertifikat ist noch auf der ToDo...)
Um die Sache Full-Session / Remote Apps besser voneinander zu trennen hatte ich mir jetzt gedacht, ich erstelle eine zweite Gruppe, erlaube die Remoteanmeldung nur für diese Gruppe auf beiden Servern über System/Remote mit einem zweiten Eintrag. Das Ende vom Lied war aber, dass sich ein paar User sehr wohl verbinden konnten, einige jedoch nicht. Bei den Remote-Apps habe ich in Domäne B je Applikation eine eigene AD-Gruppe, diese Gruppen sind alle Mitglied einer Obergruppe "Remote-Apps". Verbinden zum Server dürfen sich alle Remote-Apps Mitglieder, in den App-Gruppen wird dann festgelegt, wer was sehen darf. Klappt mit Remote-App auch soweit bis auf das genannte Adobe Reader Problem.
Frage hierzu wäre, wo ist der Denkfehler bzgl. der Unterscheidung in Remote-App Gruppe und FullSession-Gruppe. Ist das überhaupt möglich? Ich meine bei meinen Recherchen irgendwo gelesen zu haben, dass der RD-Server da nicht unterscheidet und FullSession User auch nur die Anwendungen der Sammlung aufmachen dürften. Getestet habe ich das aber noch nicht...
Für das letzte i-Tüpfelchen müsste ich jetzt noch wissen, wie ich das mit den SAN-Zertifikaten regle. Ich habe mir über die AD-CA ein Zertifikat für den TS1 ausstellen lassen und in seinem IIS eingebunden. Damit die Lastverteilung aber richtig funktioniert muss ich doch wenigstens noch den zweiten Namen mit in das Zertifikat bekommen. Hatte bislang noch nicht all zu viel mit Zertifikaten zu tun und stell mich da irgendwie zu blöd an. Kann man und wenn ja wie in der AD-CA Zertifikate für mehr als einen Servernamen ausstellen? Ich kenns zwar prinzipiell vom Exchange, der erstellt aber seine eigene Zertifikatsanforderung, die ich dann an die CA einreiche und gut war's.
Danke schon mal im Voraus!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 264394
Url: https://administrator.de/contentid/264394
Ausgedruckt am: 22.11.2024 um 22:11 Uhr
8 Kommentare
Neuester Kommentar
Ich hab die Sammlung gelöscht, musste dann noch die Gruppenrichtlinien deaktivieren weil er da irgendeinen Parameter gesetzt hat den der Assistent für die Sammlung nicht mochte oder dadurch auf den beiden RD-Sitzungshosts nicht mehr ändern konnte.
Irgendwo hat sich eine Sammlung verhakt. Ich hatten Fall letztes Jahr unter 2008R2. Aber krieg die Lösung nicht mehr zusammen.Durchsuch mal die Registry nach dem Namen der "toten" Applikation...
Gruß,
Dani