kerobra
Goto Top

Windows Server 2012R2 Remote-Apps zeigen auf den Clients falsche Einträge an, Fullsession vs. Remote Apps, SAN-Zertifikate mit AD-CA

Hallo erstmal!

Ich habe das Netz schon durchsucht, bin aber bislang irgendwie nie dort angekommen, wo ich hin muss face-sad
Ich habe bei einem Kunden eine Win2012R2 TS-Farm installiert, bestehend aus 2 Servern, wovon einer bis auf das RD-Gateway alle Rollen hat und der andere RD-Sitzungshost ist. Bei der Einrichtung gab es das ein oder andere hin und her, wodurch vermutlich der o.g. Fehler entstanden ist. Ich hab aber keine Ahnung, wo ich weiter suchen könnte...

Auf der Farm ist mit dem Assistenten in der letzten Version nun eine Sammlung freigegeben worden, die ich im Nachgang bearbeitet habe und über beide Server verteile. Soweit so gut, die Anwendungen werden auf den Clients, wo ich die Remote-App Verbindung in der Systemsteuerung eingetragen habe auch angezeigt, allerdings sehe ich - obwohl nur einmal freigegeben - den Adobe Reader seltsamerweise doppelt. Einer davon verweist allerdings auf eine ältere Sammlung, die ich während der Testphase einmal angelegt hatte und die es gar nicht mehr gibt - sprich: dieses Icon bringt nur eine Fehlermeldung, sonst nichts.

Dies wäre erst mal das dringendste Problem.


Da wir auf dem Server wegen Zertifikatsproblemen, bzw. zwei voneinander unabhängigen Domains nicht mit den Remote-Apps arbeiten können haben wir aktuell die Verbindungen als "klassische Full-Sessions" konfiguriert. (Clients in Domäne A, angebunden via VPN an Domäne B, es soll kein Trust oder manueller Zertifikatsimport erfolgen, öffentliches Zertifikat ist noch auf der ToDo...)

Um die Sache Full-Session / Remote Apps besser voneinander zu trennen hatte ich mir jetzt gedacht, ich erstelle eine zweite Gruppe, erlaube die Remoteanmeldung nur für diese Gruppe auf beiden Servern über System/Remote mit einem zweiten Eintrag. Das Ende vom Lied war aber, dass sich ein paar User sehr wohl verbinden konnten, einige jedoch nicht. Bei den Remote-Apps habe ich in Domäne B je Applikation eine eigene AD-Gruppe, diese Gruppen sind alle Mitglied einer Obergruppe "Remote-Apps". Verbinden zum Server dürfen sich alle Remote-Apps Mitglieder, in den App-Gruppen wird dann festgelegt, wer was sehen darf. Klappt mit Remote-App auch soweit bis auf das genannte Adobe Reader Problem.

Frage hierzu wäre, wo ist der Denkfehler bzgl. der Unterscheidung in Remote-App Gruppe und FullSession-Gruppe. Ist das überhaupt möglich? Ich meine bei meinen Recherchen irgendwo gelesen zu haben, dass der RD-Server da nicht unterscheidet und FullSession User auch nur die Anwendungen der Sammlung aufmachen dürften. Getestet habe ich das aber noch nicht...


Für das letzte i-Tüpfelchen müsste ich jetzt noch wissen, wie ich das mit den SAN-Zertifikaten regle. Ich habe mir über die AD-CA ein Zertifikat für den TS1 ausstellen lassen und in seinem IIS eingebunden. Damit die Lastverteilung aber richtig funktioniert muss ich doch wenigstens noch den zweiten Namen mit in das Zertifikat bekommen. Hatte bislang noch nicht all zu viel mit Zertifikaten zu tun und stell mich da irgendwie zu blöd an. Kann man und wenn ja wie in der AD-CA Zertifikate für mehr als einen Servernamen ausstellen? Ich kenns zwar prinzipiell vom Exchange, der erstellt aber seine eigene Zertifikatsanforderung, die ich dann an die CA einreiche und gut war's.

Danke schon mal im Voraus!

Content-ID: 264394

Url: https://administrator.de/contentid/264394

Ausgedruckt am: 22.11.2024 um 22:11 Uhr

Dani
Dani 24.02.2015 um 20:42:07 Uhr
Goto Top
Moin,
wo ich die Remote-App Verbindung in der Systemsteuerung eingetragen habe auch angezeigt, allerdings sehe ich - obwohl nur einmal freigegeben - den Adobe Reader seltsamerweise doppelt.
Was passiert wenn du die Verbindung nochmals löscht und neu einrichtest?


Gruß,
Dani
kerobra
kerobra 25.02.2015 um 08:31:52 Uhr
Goto Top
Wenn ich die Verbindung lösche sind logischerweise alle Apps verschwunden, lege ich sie wieder an dann tauchen 10 Anwendungen auf, obwohl in der Sammlung nur 9 enthalten sind face-sad
kerobra
kerobra 25.02.2015 aktualisiert um 08:44:11 Uhr
Goto Top
Die Sache mit dem Zertifikat habe ich inzwischen glaube ich soweit kapiert. Ich habe im DNS einen Farmnamen eingetragen und dann beide Server auf diesen Namen mit A-Record angelegt. nslookup gibt beide IPs zurück.

Für diesen Farmnamen hab ich dann ein Zertifikat erzeugt und auf beiden Servern in "Eigene Zertifikate" importiert sowie über die Powershell aktiviert.
gci cert:\LocalMachine\My | select FriendlyName, Thumbprint
wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="<Fingerabdruck>"

Das hat mich zumindest mal soweit gebracht, dass ich die Farm-Adresse für SSO aktiviert habe und das soweit auch mit RDP-Client funktioniert inkl. Lastverteilung und ohne irgendwelche Zertifikatwarnungen oder -fehler.


Zwei Punkte wären an der Stelle aber noch offen:
1) wenn ich die Verbindung zu den Remote-Apps einrichten will fragt er trotzdem noch nach Anmeldedaten
Ich mein klar, unter SSO versteht MS ja nur die Delegierung von Anmeldeinformationen für bestimmte TERMSRV/-Verbindungen. Bekomme ich das für Web, darüber läuft ja die Remote-App-Verbindung vielleicht auch noch irgendwie hin? Integrierte Windows-Auth. ist aktiviert.
2) Obwohl das Farmzertifikat bei allen 3 Punkten in der Farm (RDWeb, Broker-SSO, Broker-Veröffentlichung) hinterlegt ist bekomme ich bei der Verbindung über Remote-Apps beim Starten einer App eine "Herausgeber kann nicht identifiziert werden"-Meldung. Dort steht als Adresse komischerweise die vom Broker, nicht von der Farm, über die die Verbindung auch angelegt ist.
Dani
Dani 25.02.2015 um 09:53:47 Uhr
Goto Top
Ich würde sagen, da hängt noch ein App in der Sammlung. Da wird dir nichts anderes übrig bleiben, als die Sammlung komplett zu löschen und neu anzulegen.
kerobra
kerobra 25.02.2015 um 10:55:03 Uhr
Goto Top
Ohje, keine gute Idee :D

Ich hab die Sammlung gelöscht, musste dann noch die Gruppenrichtlinien deaktivieren weil er da irgendeinen Parameter gesetzt hat den der Assistent für die Sammlung nicht mochte oder dadurch auf den beiden RD-Sitzungshosts nicht mehr ändern konnte.

Ohne eine Sammlung wurde angezeigt ein Adobe Reader und ein RDP-Desktop...

Neue Sammlung erstellt, wieder 10 Apps am Client und das schlimmste: der Adobe Reader spricht nur noch englisch, obwohl die deutsche Version installiert ist und schon immer war. Auch auf Full-Session nur noch in Englisch...
kerobra
kerobra 25.02.2015 um 11:23:34 Uhr
Goto Top
Es war der Protected Mode im Adobe Reader, keine Ahnung, warum das auf einmal aus heiterem Himmel und nach 1 Woche Live-Betrieb erst passiert, aber das Deaktivieren hat ihm wieder deutsch beigebracht...
Dani
Lösung Dani 25.02.2015 aktualisiert um 13:51:48 Uhr
Goto Top
Ich hab die Sammlung gelöscht, musste dann noch die Gruppenrichtlinien deaktivieren weil er da irgendeinen Parameter gesetzt hat den der Assistent für die Sammlung nicht mochte oder dadurch auf den beiden RD-Sitzungshosts nicht mehr ändern konnte.
Irgendwo hat sich eine Sammlung verhakt. Ich hatten Fall letztes Jahr unter 2008R2. Aber krieg die Lösung nicht mehr zusammen.
Durchsuch mal die Registry nach dem Namen der "toten" Applikation...


Gruß,
Dani
kerobra
kerobra 25.02.2015 um 13:50:39 Uhr
Goto Top
Tausend Dank für den Schubs in die richtige Richtung!

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\CentralPublishedResources\PublishedFarms

Da waren auf dem Broker zwei Farmen eingetragen, in der einen nur ein Adobe Reader, in der anderen die anderen Programme. Gelöscht und schon findet der Client nur noch die 9 gewünschten Remote-Apps!