8
Windows Server 2012R2 Remote-Apps zeigen auf den Clients falsche Einträge an, Fullsession vs. Remote Apps, SAN-Zertifikate mit AD-CA
Hallo erstmal!
Ich habe das Netz schon durchsucht, bin aber bislang irgendwie nie dort angekommen, wo ich hin muss
Ich habe bei einem Kunden eine Win2012R2 TS-Farm installiert, bestehend aus 2 Servern, wovon einer bis auf das RD-Gateway alle Rollen hat und der andere RD-Sitzungshost ist. Bei der Einrichtung gab es das ein oder andere hin und her, wodurch vermutlich der o.g. Fehler entstanden ist. Ich hab aber keine Ahnung, wo ich weiter suchen könnte...
Auf der Farm ist mit dem Assistenten in der letzten Version nun eine Sammlung freigegeben worden, die ich im Nachgang bearbeitet habe und über beide Server verteile. Soweit so gut, die Anwendungen werden auf den Clients, wo ich die Remote-App Verbindung in der Systemsteuerung eingetragen habe auch angezeigt, allerdings sehe ich - obwohl nur einmal freigegeben - den Adobe Reader seltsamerweise doppelt. Einer davon verweist allerdings auf eine ältere Sammlung, die ich während der Testphase einmal angelegt hatte und die es gar nicht mehr gibt - sprich: dieses Icon bringt nur eine Fehlermeldung, sonst nichts.
Dies wäre erst mal das dringendste Problem.
Da wir auf dem Server wegen Zertifikatsproblemen, bzw. zwei voneinander unabhängigen Domains nicht mit den Remote-Apps arbeiten können haben wir aktuell die Verbindungen als "klassische Full-Sessions" konfiguriert. (Clients in Domäne A, angebunden via VPN an Domäne B, es soll kein Trust oder manueller Zertifikatsimport erfolgen, öffentliches Zertifikat ist noch auf der ToDo...)
Um die Sache Full-Session / Remote Apps besser voneinander zu trennen hatte ich mir jetzt gedacht, ich erstelle eine zweite Gruppe, erlaube die Remoteanmeldung nur für diese Gruppe auf beiden Servern über System/Remote mit einem zweiten Eintrag. Das Ende vom Lied war aber, dass sich ein paar User sehr wohl verbinden konnten, einige jedoch nicht. Bei den Remote-Apps habe ich in Domäne B je Applikation eine eigene AD-Gruppe, diese Gruppen sind alle Mitglied einer Obergruppe "Remote-Apps". Verbinden zum Server dürfen sich alle Remote-Apps Mitglieder, in den App-Gruppen wird dann festgelegt, wer was sehen darf. Klappt mit Remote-App auch soweit bis auf das genannte Adobe Reader Problem.
Frage hierzu wäre, wo ist der Denkfehler bzgl. der Unterscheidung in Remote-App Gruppe und FullSession-Gruppe. Ist das überhaupt möglich? Ich meine bei meinen Recherchen irgendwo gelesen zu haben, dass der RD-Server da nicht unterscheidet und FullSession User auch nur die Anwendungen der Sammlung aufmachen dürften. Getestet habe ich das aber noch nicht...
Für das letzte i-Tüpfelchen müsste ich jetzt noch wissen, wie ich das mit den SAN-Zertifikaten regle. Ich habe mir über die AD-CA ein Zertifikat für den TS1 ausstellen lassen und in seinem IIS eingebunden. Damit die Lastverteilung aber richtig funktioniert muss ich doch wenigstens noch den zweiten Namen mit in das Zertifikat bekommen. Hatte bislang noch nicht all zu viel mit Zertifikaten zu tun und stell mich da irgendwie zu blöd an. Kann man und wenn ja wie in der AD-CA Zertifikate für mehr als einen Servernamen ausstellen? Ich kenns zwar prinzipiell vom Exchange, der erstellt aber seine eigene Zertifikatsanforderung, die ich dann an die CA einreiche und gut war's.
Danke schon mal im Voraus!
Ich habe das Netz schon durchsucht, bin aber bislang irgendwie nie dort angekommen, wo ich hin muss
Ich habe bei einem Kunden eine Win2012R2 TS-Farm installiert, bestehend aus 2 Servern, wovon einer bis auf das RD-Gateway alle Rollen hat und der andere RD-Sitzungshost ist. Bei der Einrichtung gab es das ein oder andere hin und her, wodurch vermutlich der o.g. Fehler entstanden ist. Ich hab aber keine Ahnung, wo ich weiter suchen könnte...
Auf der Farm ist mit dem Assistenten in der letzten Version nun eine Sammlung freigegeben worden, die ich im Nachgang bearbeitet habe und über beide Server verteile. Soweit so gut, die Anwendungen werden auf den Clients, wo ich die Remote-App Verbindung in der Systemsteuerung eingetragen habe auch angezeigt, allerdings sehe ich - obwohl nur einmal freigegeben - den Adobe Reader seltsamerweise doppelt. Einer davon verweist allerdings auf eine ältere Sammlung, die ich während der Testphase einmal angelegt hatte und die es gar nicht mehr gibt - sprich: dieses Icon bringt nur eine Fehlermeldung, sonst nichts.
Dies wäre erst mal das dringendste Problem.
Da wir auf dem Server wegen Zertifikatsproblemen, bzw. zwei voneinander unabhängigen Domains nicht mit den Remote-Apps arbeiten können haben wir aktuell die Verbindungen als "klassische Full-Sessions" konfiguriert. (Clients in Domäne A, angebunden via VPN an Domäne B, es soll kein Trust oder manueller Zertifikatsimport erfolgen, öffentliches Zertifikat ist noch auf der ToDo...)
Um die Sache Full-Session / Remote Apps besser voneinander zu trennen hatte ich mir jetzt gedacht, ich erstelle eine zweite Gruppe, erlaube die Remoteanmeldung nur für diese Gruppe auf beiden Servern über System/Remote mit einem zweiten Eintrag. Das Ende vom Lied war aber, dass sich ein paar User sehr wohl verbinden konnten, einige jedoch nicht. Bei den Remote-Apps habe ich in Domäne B je Applikation eine eigene AD-Gruppe, diese Gruppen sind alle Mitglied einer Obergruppe "Remote-Apps". Verbinden zum Server dürfen sich alle Remote-Apps Mitglieder, in den App-Gruppen wird dann festgelegt, wer was sehen darf. Klappt mit Remote-App auch soweit bis auf das genannte Adobe Reader Problem.
Frage hierzu wäre, wo ist der Denkfehler bzgl. der Unterscheidung in Remote-App Gruppe und FullSession-Gruppe. Ist das überhaupt möglich? Ich meine bei meinen Recherchen irgendwo gelesen zu haben, dass der RD-Server da nicht unterscheidet und FullSession User auch nur die Anwendungen der Sammlung aufmachen dürften. Getestet habe ich das aber noch nicht...
Für das letzte i-Tüpfelchen müsste ich jetzt noch wissen, wie ich das mit den SAN-Zertifikaten regle. Ich habe mir über die AD-CA ein Zertifikat für den TS1 ausstellen lassen und in seinem IIS eingebunden. Damit die Lastverteilung aber richtig funktioniert muss ich doch wenigstens noch den zweiten Namen mit in das Zertifikat bekommen. Hatte bislang noch nicht all zu viel mit Zertifikaten zu tun und stell mich da irgendwie zu blöd an. Kann man und wenn ja wie in der AD-CA Zertifikate für mehr als einen Servernamen ausstellen? Ich kenns zwar prinzipiell vom Exchange, der erstellt aber seine eigene Zertifikatsanforderung, die ich dann an die CA einreiche und gut war's.
Danke schon mal im Voraus!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 264394
Url: https://administrator.de/contentid/264394
Ausgedruckt am: 22.11.2024 um 22:11 Uhr
8 Kommentare
Neuester Kommentar
Moin,
Gruß,
Dani
wo ich die Remote-App Verbindung in der Systemsteuerung eingetragen habe auch angezeigt, allerdings sehe ich - obwohl nur einmal freigegeben - den Adobe Reader seltsamerweise doppelt.
Was passiert wenn du die Verbindung nochmals löscht und neu einrichtest?Gruß,
Dani
Wenn ich die Verbindung lösche sind logischerweise alle Apps verschwunden, lege ich sie wieder an dann tauchen 10 Anwendungen auf, obwohl in der Sammlung nur 9 enthalten sind
Die Sache mit dem Zertifikat habe ich inzwischen glaube ich soweit kapiert. Ich habe im DNS einen Farmnamen eingetragen und dann beide Server auf diesen Namen mit A-Record angelegt. nslookup gibt beide IPs zurück.
Für diesen Farmnamen hab ich dann ein Zertifikat erzeugt und auf beiden Servern in "Eigene Zertifikate" importiert sowie über die Powershell aktiviert.
Das hat mich zumindest mal soweit gebracht, dass ich die Farm-Adresse für SSO aktiviert habe und das soweit auch mit RDP-Client funktioniert inkl. Lastverteilung und ohne irgendwelche Zertifikatwarnungen oder -fehler.
Zwei Punkte wären an der Stelle aber noch offen:
1) wenn ich die Verbindung zu den Remote-Apps einrichten will fragt er trotzdem noch nach Anmeldedaten
Ich mein klar, unter SSO versteht MS ja nur die Delegierung von Anmeldeinformationen für bestimmte TERMSRV/-Verbindungen. Bekomme ich das für Web, darüber läuft ja die Remote-App-Verbindung vielleicht auch noch irgendwie hin? Integrierte Windows-Auth. ist aktiviert.
2) Obwohl das Farmzertifikat bei allen 3 Punkten in der Farm (RDWeb, Broker-SSO, Broker-Veröffentlichung) hinterlegt ist bekomme ich bei der Verbindung über Remote-Apps beim Starten einer App eine "Herausgeber kann nicht identifiziert werden"-Meldung. Dort steht als Adresse komischerweise die vom Broker, nicht von der Farm, über die die Verbindung auch angelegt ist.
Für diesen Farmnamen hab ich dann ein Zertifikat erzeugt und auf beiden Servern in "Eigene Zertifikate" importiert sowie über die Powershell aktiviert.
gci cert:\LocalMachine\My | select FriendlyName, Thumbprint
wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="<Fingerabdruck>"
wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="<Fingerabdruck>"
Das hat mich zumindest mal soweit gebracht, dass ich die Farm-Adresse für SSO aktiviert habe und das soweit auch mit RDP-Client funktioniert inkl. Lastverteilung und ohne irgendwelche Zertifikatwarnungen oder -fehler.
Zwei Punkte wären an der Stelle aber noch offen:
1) wenn ich die Verbindung zu den Remote-Apps einrichten will fragt er trotzdem noch nach Anmeldedaten
Ich mein klar, unter SSO versteht MS ja nur die Delegierung von Anmeldeinformationen für bestimmte TERMSRV/-Verbindungen. Bekomme ich das für Web, darüber läuft ja die Remote-App-Verbindung vielleicht auch noch irgendwie hin? Integrierte Windows-Auth. ist aktiviert.
2) Obwohl das Farmzertifikat bei allen 3 Punkten in der Farm (RDWeb, Broker-SSO, Broker-Veröffentlichung) hinterlegt ist bekomme ich bei der Verbindung über Remote-Apps beim Starten einer App eine "Herausgeber kann nicht identifiziert werden"-Meldung. Dort steht als Adresse komischerweise die vom Broker, nicht von der Farm, über die die Verbindung auch angelegt ist.
Ich würde sagen, da hängt noch ein App in der Sammlung. Da wird dir nichts anderes übrig bleiben, als die Sammlung komplett zu löschen und neu anzulegen.
Ohje, keine gute Idee :D
Ich hab die Sammlung gelöscht, musste dann noch die Gruppenrichtlinien deaktivieren weil er da irgendeinen Parameter gesetzt hat den der Assistent für die Sammlung nicht mochte oder dadurch auf den beiden RD-Sitzungshosts nicht mehr ändern konnte.
Ohne eine Sammlung wurde angezeigt ein Adobe Reader und ein RDP-Desktop...
Neue Sammlung erstellt, wieder 10 Apps am Client und das schlimmste: der Adobe Reader spricht nur noch englisch, obwohl die deutsche Version installiert ist und schon immer war. Auch auf Full-Session nur noch in Englisch...
Ich hab die Sammlung gelöscht, musste dann noch die Gruppenrichtlinien deaktivieren weil er da irgendeinen Parameter gesetzt hat den der Assistent für die Sammlung nicht mochte oder dadurch auf den beiden RD-Sitzungshosts nicht mehr ändern konnte.
Ohne eine Sammlung wurde angezeigt ein Adobe Reader und ein RDP-Desktop...
Neue Sammlung erstellt, wieder 10 Apps am Client und das schlimmste: der Adobe Reader spricht nur noch englisch, obwohl die deutsche Version installiert ist und schon immer war. Auch auf Full-Session nur noch in Englisch...
Es war der Protected Mode im Adobe Reader, keine Ahnung, warum das auf einmal aus heiterem Himmel und nach 1 Woche Live-Betrieb erst passiert, aber das Deaktivieren hat ihm wieder deutsch beigebracht...
Ich hab die Sammlung gelöscht, musste dann noch die Gruppenrichtlinien deaktivieren weil er da irgendeinen Parameter gesetzt hat den der Assistent für die Sammlung nicht mochte oder dadurch auf den beiden RD-Sitzungshosts nicht mehr ändern konnte.
Irgendwo hat sich eine Sammlung verhakt. Ich hatten Fall letztes Jahr unter 2008R2. Aber krieg die Lösung nicht mehr zusammen.Durchsuch mal die Registry nach dem Namen der "toten" Applikation...
Gruß,
Dani
Tausend Dank für den Schubs in die richtige Richtung!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\CentralPublishedResources\PublishedFarms
Da waren auf dem Broker zwei Farmen eingetragen, in der einen nur ein Adobe Reader, in der anderen die anderen Programme. Gelöscht und schon findet der Client nur noch die 9 gewünschten Remote-Apps!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\CentralPublishedResources\PublishedFarms
Da waren auf dem Broker zwei Farmen eingetragen, in der einen nur ein Adobe Reader, in der anderen die anderen Programme. Gelöscht und schon findet der Client nur noch die 9 gewünschten Remote-Apps!
