none
RDS Farm unter Win 2012 R2 - müssen User in die Remote Desktop User Gruppe des Connection Brokers?! RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Ich habe eine RDS Farm unter Windows 2012 R2 installiert (via Add Roles and Features, Remote Desktop Service Installation, Standard Deployment, ...)

    Server 1 -> Session Host und Web Access

    Server 2 -> Session Host und Web Access

    Server 3 -> Connection Broker

    Ich habe eine Session Collection eingerichtet, die User berechtigt (über den Wizard werden die User dann in die Remote Desktop User Gruppe der Session Hosts aufgenommen). Der Zugriff erfolgt über das Web Access (mit dem IE), dort authentifiziert sich der User, bekommt dann die Remote Apps oder den Remote Desktop als Auswahlmöglichkeit zu sehen.

    Das Problem beginnt nach der Auswahl (dem Anklicken) der gewünschten Remote App, es öffnet sich ein RDP Client Fenster, bei dem der Connection Broker als Ziel eingetragen ist - das ist wohl auch ok so, denn die Initialverbindung geht zum CB - diese RDP Verbindung endet mit der Fehlermeldung "The connection was denied because the user account is not authorized for remote login"

    Der Verbindungsaufbau geht also zu Server 3, dem Connection Broker, dort ist der User nicht in der Remote Desktop User Gruppe und daraufhin kommt die obige Fehlermeldung.

    Um diesen Fehler zu umgehen, kann ich natürlich die User in die entsprechende Gruppe auf dem CB aufnehmen, dann funktioniert der Verbindungsaufbau, der CB leitet mich zu einem Session Host weiter und dort bekomme ich dann die angeklickte Remote App ausgeführt.

    Aber die User gehören doch nicht in die Remote Desktop User Gruppe des Connection Brokers, oder? Dann könnten Sie ja bspw. via RDP einen Verbindung zu diesem aufbauen, das dürfte kaum erwünscht sein.

    Kann mir jemand weiterhelfen und mir sagen, wie ich eine funktionierende Weiterleitung vom Web Access zum Session Host bekomme OHNE die Remote Desktop User Gruppe auf dem Connection Broker anzupassen. Was habe ich falsch konfiguriert?

    Vielen Dank in Voraus.

    Per Güttler

    Donnerstag, 30. Oktober 2014 12:58
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Hi Per,

    Best Practice ist in diesem Fall, eine dezidierte globale Benutzergruppe im AD zu erstellen, die genau dafür (und nur dafür) gedacht ist, also z.B. "RDP-Benutzer" oder irgendwas in der Richtung. Alle Benutzer, die autorisiert sein sollen, die RDS-Farm zu benutzen, kommen in diese Gruppe rein.

    Die Gruppe musst Du in den Eigenschaften der Sammlung einstellen (im Bereich "Benutzergruppen"), alles Weitere wird dann automatisch eingerichtet. D.h. im Normalfall ist es nicht erforderlich, manuell Anpassungen an lokalen Gruppen der Server vorzunehmen.

    Gruß

    Ben

    MCITP Windows 7

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort! Danke! :-)

    Hinweis: Meine Posts werden "wie besehen" ohne jedwede Gewähr bereitgestellt, da menschliche, technische und andere Fehler nicht ausgeschlossen werden können.

    Donnerstag, 30. Oktober 2014 14:33
    |
  • Question
    Anmelden
    1
    Anmelden

    Hallo Ben,

    danke für Deine Antwort.

    So eine RDP Gruppe haben wir auch, diese ist auf die RDS Farm berechtigt. Durch das Hinzufügen dieser Gruppe im Server Manager zu der entsprechenden Session Collection (Sammlung) kommt diese RDP Gruppe letztendlich in die Remote Desktop User Gruppe der Session Hosts. (bei früheren Windows Server Versionen musste man hier noch selbst Hand anlegen).

    Das ist ja auch alles wunderbar, aber der Zugriff vom RDWA funktioniert bei mir nicht, so lange diese RDP Gruppe nicht in der Remote Desktop User Gruppe des Connection Brokers ist. Da gehört sie aber meiner Meinung nach nicht hin und wird auch nicht automatisch hinzugefügt wie bei den Session Hosts.

    Grüße,

    Per

    Donnerstag, 30. Oktober 2014 14:40
    |
  • Question
    Anmelden
    1
    Anmelden
    Hab bei uns mal nachgeschaut, Du hast recht - die Gruppe muss da nicht drin sein. Führt mich zur Frage - welchen Namen verwendest Du denn für den Verbindungsaufbau? Nimmst Du einen Server- oder den Sammlungsnamen?

    Gruß

    Ben

    MCITP Windows 7

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort! Danke! :-)

    Hinweis: Meine Posts werden "wie besehen" ohne jedwede Gewähr bereitgestellt, da menschliche, technische und andere Fehler nicht ausgeschlossen werden können.

    Donnerstag, 30. Oktober 2014 14:57
    |
  • Question
    Anmelden
    1
    Anmelden

    Ich gehe mit dem Internet Explorer auf die RDWA Adresse (https://Servername/rdweb), dort authentifiziere ich mich mit meinem Domänenaccount und bekomme dann den Remote Desktop angeboten, der wie der Sammlungsname heißt.

    Bei einem Klick auf das Icon popt ein RDP Fenster auf, welches als Ziel den Servernamen des Connection Brokers eingetragen hat. Aber dieses RDP File wird ja direkt vom RDWA konfiguriert, da habe ich nichts geändert.

    Ich habe das ganze auch mit Remote Apps probiert, das Ergebnis ist das gleiche. Ich habe die gleiche RDS Farm in einer anderen Umgebung aufgebaut -> gleiches Ergebnis.

    Wie kann ich den Sammlungsnamen zum Verbindungsaufbau hernehmen? Meinst Du wenn ich einen Alias im DNS eingetragen habe?

    Donnerstag, 30. Oktober 2014 15:20
    |
  • Question
    Anmelden
    1
    Anmelden

    Hi,

    hast Du die Rolle "Web Access" auf dem Verbindungsbroker installiert. Lt. Best Practice soll der wohl auf einem eigenen Server bereitgestellt werden. Ich könnte mir vorstellen, dass diese Rolle die Konfiguration der lokalen Gruppe Remotedesktopbenutzer erfordert.

    Allerdings habe ich das selbst noch nie bereitgestellt, deswegen bin ich an dieser Stelle überfragt. Vielleicht hilft Dir dieser Guide weiter...?

    http://msfreaks.wordpress.com/2013/12/09/windows-2012-r2-remote-desktop-services-part-1/

    Gruß

    Ben

    MCITP Windows 7

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort! Danke! :-)

    Hinweis: Meine Posts werden "wie besehen" ohne jedwede Gewähr bereitgestellt, da menschliche, technische und andere Fehler nicht ausgeschlossen werden können.

    Freitag, 31. Oktober 2014 10:34
    |
  • Question
    Anmelden
    0
    Anmelden
    Die Rolle Web Access ist jeweils auf den beiden Servern installiert, welche auch die Session Host Rolle haben. Der Connection broker hat keine weitere RDS Rolle.
    Mittwoch, 5. November 2014 15:43
    |