none
Probleme mit Terminalserver 2012 R2 RRS feed

  • Frage

  • Hallo liebe Microsofties,

    in Systemadministrator in einem Unternehmen mit ca. 100 Mitarbeitern. Wir haben derzeit einen Windows Server 2008 R2 Terminal Server im produktiven Einsatz. Des Weiteren haben wir einen Windows Server 2012 R2 Terminal Server (Testserver) im Einsatz. Wir wollen nun den alten 2008 R2 Server ablösen und vollständig auf den neuen Server migrieren.

    Wichtig ist noch zu wissen, dass wir Benutzerzertifikate aus der hauseigenen Enterprise Zertifizierungsstelle verwenden. Diese werden dabei auf Aladdin E-Token exportiert um diese mit einer Pin vor Missbrauch zu schützen. Die Active Directory Gesamtstruktur Funktionsebenen ist Windows Server 2008 R2. Die Domain Controller sind ebenfalls noch Windows Server 2008 R2.

    Beim Windows Server 2012 R2, habe ich derzeit noch 3 Probleme die ich nicht gelöst bekomme, daher wende ich mich an euch.

    Anmelden in der Konsole:

    Wenn ich einen Windows Server 2012 R2 Terminal Server bereitstelle und auf diesem keine Anwendung zur Verfügung stelle, habe ich im RD Web die Konsolenverbindung (MSTSC) zur Verfügung. Füge ich eine beliebige Remote App (z.B. Outlook) hinzu verschwindet sofort die Konsolenverbindung (MSTSC) und ich kann diese nur mit einem Workaround wieder hinzufügen.

    Ich habe mir geholfen in dem ich die C:\Windows\System32\MSTSC.exe mit dem Parameter /v Servername.FQDN als Remote App hinzugefügt habe. Diese Lösung ist jedoch sehr unsauber, da ich zunächst eine Remote Desktop Verbindung öffne um dann mit dem Parameter eine Remote Desktop Verbindung zu öffnen. Somit hat jeder Nutzer automatisch 2 aktive Sitzung und ich verschwende unnötig Ressourcen. Bei 20 aktiven User hätte ich somit aktive 40 Sitzungen, dieser Effekt ist sehr unschön.

    Hat jemand einen Rat, wie ich dieses Problem sauberer lösen kann?

    Es ist des Weiteren nicht mehr möglich, Programme welcher auf einem Netzlaufwerk liegen als Remote App zu veröffentlichen. Auch hier suche ich noch nach einer passenden Lösung. Der Server gibt lediglich die Fehlermeldung aus, dass ich einen UNC-Pfad verwenden soll.

    Automatische Server Verbindung beim Hochfahren des Client Betriebssystems:

    Ich finde es für den Nutzer sehr komfortabel, wenn dieser sich die Remote App und Desktopverbindung in der Systemsteuerung hinzufügen kann um diese dann bei jedem Start des Computers direkt zu verwenden.

    Leider scheint diese Funktion ein Fehler zu haben, welchen ich auf unsere Zertifikat Authentifizierung zurückführen würde.

    Ich gehe hierbei wie folgt vor, ich öffne die Systemsteuerung (klassische Ansicht Kleine Symbole) klicke auf Remote App und Desktopverbindungen und wähle die Option „neue Verbindung mit Remote App und Desktop Verbindung einrichten“. Im Anschluss konfigurierte ich dann mithilfe des Wizard‘s die Verbindung zu meinem Server.

    Nun fordert mich das Server auf mich gegenüber dem Server zu authentifizieren und fügt mir die Remote Apps hinzu. Starte ich meinen Client nun neu kann er diese Verbindung nicht erneut herstellen und das Feature ist somit derzeit nutzlos da, sich meine Nutzer diese Verbindung nach jedem Neustart erneut einrichten müssten.

    Es sieht für mich so aus, als ob der Server an der Zertifikatsauthentifizierung (Eingabe der Pin zum Lesen auf dem E-Token) scheitert.

    Hat jemand eine Idee, wie ich diesen Fehler beheben kann? Es würde die Akzeptanz der Nutzer sehr stark erhöhen und den Zugriff zum Server wesentlich vereinfachen.

    Des Weiteren bin ich auf der Suche, nach einem Weg diese Verbindung automatisch auf dem Client einzurichten. Hierbei wäre eine Batchdatei welche ich mit einigen anderen Installationen verknüpfte meine Wahl.

    Verschlüsselte Remoteapps:

    Unter Windows Server 2008 R2 hatte ich die Möglichkeit, die zur Verfügung gestellten Remote Apps verschlüsselt zu exportieren, damit ich diese meinen Nutzern zur Verfügung stellen kann um den Login in den Server zu vereinfachen.

    So wie es aussieht hat Microsoft vergessen diese Funktion in Server 2012 R2 zu implementieren.

    Hat irgendjemand ein Workaround um dieses Thema? Ich habe leider im Internet nichts passendes gefunden. Das tolle an der Funktion war das der Nutzer die zur Verfügung gestellten RDP Dateien nicht manipulieren konnte.

    Grüße Fritz


    • Bearbeitet Fritz84 Montag, 13. April 2015 11:28
    Montag, 13. April 2015 11:27

Antworten

  • Zu dem Webfeed mal noch ein Tip zur Autokonfiguration und 2-Wegeauthentifizierung/ Benutzercert Authentifizierung: http://ryanmangansitblog.com/2013/03/11/configuring-dns-for-rds-2012-rdweb-feed/

    Windows 7 beherrscht diese Methode auch, und ein so eingebundener Webfeed für die RemoteApps funktioniert auch nach einer Ab- und Anmeldung wieder.

    (Machs für die User nicht zu komfortabel, es ist noch niemanden ein Zacken aus der Krone gebrochen als er eine RemoteApp starten wollte und dazu manuell auf die RDWeb Seite gehen musste.)


    freundliche Grüße Thomas


    Montag, 13. April 2015 13:17
  • Hi,
     
    Am 13.04.2015 13:27, schrieb Fritz84:
    > Unter Windows Server 2008 R2 hatte ich die Möglichkeit, die zur
    > Verfügung gestellten Remote Apps verschlüsselt zu exportieren
     
    2 Möglichkeiten:
     
    a) Die verbindest dich von einem Windows 8/2012 zum webfeed.aspx
    um die Workplaces zu kriegen, dann werden dir die RDP Dateien lokal
    unter %appdata% abgelegt und du kannst sie herauskopieren und verteilen
     
    b) du öffnest die Webseite der Apps mit Chrome oder Firefox, die können
    kein ActiveX und bieten dir den Link als RDP Download.
     
    Das einzige was jetzt fehlt ist leider das MSI, was man erstellen
    konnte. Das braucht man aber nicht mehr, weil Windows 8 aufwärst sich
    per GPO zum Webfeed verbinden kann und dann automatisch die
    bereitgestellten Apps ins eigene Startmenü integriert.
     
    Die GPO kannst du auch an Windows 7 verteilen, aber dem OS ist es egal,
    das kann damit nichts anfangen
    :-)
     
    Tschö
    Mark
     
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Montag, 13. April 2015 12:45
  • Die (selbsterstellten) RDP Dateien kannst du aber auch einfacher signieren: https://technet.microsoft.com/en-us/library/cc753982.aspx . Und dann per GPP verteilen - nach dem letzten Post hab ich nun verstanden was du eingangs mit verschlüsseln gemeint hast. Ein Tipp was dir das leben vllt. Leichter macht und dein Problem ein bisschen entzaubert: 1. User die ausschliesslich auf die Konsole zugreifen sollen, bekommen von dir die signierte RDP Datei via GPP auf den Desktop. 2. User die RemoteApps nutzen sollen bekommen von dir die Verknüpfung zum RDWeb auf den Desktop. 3. Windows 8 Nutzern wirdder Webfeed via GPO vorkonfiguriert. Bis auf Punkt 3 haben wir das schon mehrfach so laufen, mit recht hoher Akzeptanz. Zukünftig solltest du vllt. auch mal auf ein paar Thin Clients schielen, wenn das deine Umgebung hergibt.

    freundliche Grüße Thomas

    Montag, 13. April 2015 21:48

Alle Antworten

  • Hi,
     
    Am 13.04.2015 13:27, schrieb Fritz84:
    > Unter Windows Server 2008 R2 hatte ich die Möglichkeit, die zur
    > Verfügung gestellten Remote Apps verschlüsselt zu exportieren
     
    2 Möglichkeiten:
     
    a) Die verbindest dich von einem Windows 8/2012 zum webfeed.aspx
    um die Workplaces zu kriegen, dann werden dir die RDP Dateien lokal
    unter %appdata% abgelegt und du kannst sie herauskopieren und verteilen
     
    b) du öffnest die Webseite der Apps mit Chrome oder Firefox, die können
    kein ActiveX und bieten dir den Link als RDP Download.
     
    Das einzige was jetzt fehlt ist leider das MSI, was man erstellen
    konnte. Das braucht man aber nicht mehr, weil Windows 8 aufwärst sich
    per GPO zum Webfeed verbinden kann und dann automatisch die
    bereitgestellten Apps ins eigene Startmenü integriert.
     
    Die GPO kannst du auch an Windows 7 verteilen, aber dem OS ist es egal,
    das kann damit nichts anfangen
    :-)
     
    Tschö
    Mark
     
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Montag, 13. April 2015 12:45
  • Vielen Dank für deine Antwort, leider wird das jedoch nicht mein Problem mit dem wieder verbinden nach dem Neustart lösen. Hast du noch eine Idee wegen der Konsole?
    Montag, 13. April 2015 13:09
  • Zu dem Webfeed mal noch ein Tip zur Autokonfiguration und 2-Wegeauthentifizierung/ Benutzercert Authentifizierung: http://ryanmangansitblog.com/2013/03/11/configuring-dns-for-rds-2012-rdweb-feed/

    Windows 7 beherrscht diese Methode auch, und ein so eingebundener Webfeed für die RemoteApps funktioniert auch nach einer Ab- und Anmeldung wieder.

    (Machs für die User nicht zu komfortabel, es ist noch niemanden ein Zacken aus der Krone gebrochen als er eine RemoteApp starten wollte und dazu manuell auf die RDWeb Seite gehen musste.)


    freundliche Grüße Thomas


    Montag, 13. April 2015 13:17
  • Danke für deine Antwort dann werde ich das mal testen. Meine Idee wäre sonst mal zu testen den RD-Web aus Sicherheitsgründen zu deinstallieren und nur die RDP-Dateien und den Login über das Startmenü bereitzustellen.

    Man muss ja theoretisch keinen RD-Web mehr haben um einen Terminalserver zu betreiben, daher finde ich die Anmeldung über Remoteapps und das Startmenü schon interessant. Wenn ich so nur noch die Apps verteile könnt ich ja theoretisch auch eine eigene RDP-Datei schreiben die die Verbindung zur Konsole herstellt. Wenn ich die dann wieder auf den Server lade und als RDP-Datei anbiete und verteile könnte ich ggf. die Doppelsitzungen damit umgehen. Das Blöde ist dann nur das die nicht mehr gegen Manipulation geschützt ist da sie keine Signatur mehr hat.

    Wir hatten früher mal (als es den TMG) noch gab, die Funktion das der Listener auf gewisse Atribute im Clientzertifikat schaut. Waren die Attribute nicht vorhanden hat der Webserver die Anfrage mit Fehler 404 verworfen. Somit wurden potentielle Angreifer erst gar nicht auf den Server aufmerksam.

    Portscan auf 3389 und so weiter waren auch nicht möglich. Nur 443 hat auf die "initiale Anfrage" reagiert.

    Heute steht der Server leider mit dem RD-Web offen im Netz und die Zertifikate werden erst bei der zweiten Anmeldung (RDP-Sitzung) abgefragt. Das ist echt schade. Ich habe bei unserem derzeitigen FW Anbieter ein Featurerequest aufgemacht und es hat auch schon sehr viele Votes. Aber leider ist noch unbekannt ob das je kommen wird.

    Montag, 13. April 2015 13:44
  • Hi,
     
    Am 13.04.2015 15:17, schrieb Thomas Proehl [MCT]:
    > Windows 7 beherrscht diese Methode auch, und ein so eingebundener
    > Webfeed für die RemoteApps funktioniert auch nach einer Ab- und
    > Anmeldung wieder.
     
    Jo, nur muss der manuell eingerichtet werden, die Richtlinie allein
    reicht nicht. Ich habe nie alle Differenzen in Win7 rausgesucht um es
    als RegHck zu verteilen.
     
    > (Machs für die User nicht zu komfortabel, es ist noch niemanden ein
    > Zacken aus der Krone gebrochen als er eine RemoteApp starten wollte und
    > dazu manuell auf die RDWeb Seite gehen musste.)
     
    Like! :-) Mist, wo ist der Button?
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Montag, 13. April 2015 14:20
  • Ich habe nach der Antwort von dir nochmal nen bissel nachgedacht und habe sogar eine Lösung für die Konsole gefunden. Bissel konfus aber es geht...

    Der Trick war ich habe auf dem Server eine „Remotedesktopverbindung“ von Hand geschrieben und unter C:/Programme x86/ abgelegt.

    Die habe ich dann über den RDWeb veröffentlicht ohne Parameter.

    Das hat dann die Datei verschlüsselt und den Manipulationsschutz erstellt indem die Datei eine Signatur und einen Hash bekommen hat.

    Nun können die User Ihr Passwort nicht mehr speichern oder Festplatten durchschleifen.

    Beim anmelden am Gateway über die Systemsteuerung, läd er die dann auf den lokalen Client runtergeladen. Da hab ich Sie dann wieder rausgefischt und damit können wir die für alle wieder anbieten und das ist sauber (keine doppelte Sitzung ect.). Schade ist nur das es nicht mit Boardmittel geht wie bei 2008R2.

    Wenn ich nun die Authentifizierung noch hinbekomme kann ich schon fast damit leben.

    Montag, 13. April 2015 14:30
  • Die (selbsterstellten) RDP Dateien kannst du aber auch einfacher signieren: https://technet.microsoft.com/en-us/library/cc753982.aspx . Und dann per GPP verteilen - nach dem letzten Post hab ich nun verstanden was du eingangs mit verschlüsseln gemeint hast. Ein Tipp was dir das leben vllt. Leichter macht und dein Problem ein bisschen entzaubert: 1. User die ausschliesslich auf die Konsole zugreifen sollen, bekommen von dir die signierte RDP Datei via GPP auf den Desktop. 2. User die RemoteApps nutzen sollen bekommen von dir die Verknüpfung zum RDWeb auf den Desktop. 3. Windows 8 Nutzern wirdder Webfeed via GPO vorkonfiguriert. Bis auf Punkt 3 haben wir das schon mehrfach so laufen, mit recht hoher Akzeptanz. Zukünftig solltest du vllt. auch mal auf ein paar Thin Clients schielen, wenn das deine Umgebung hergibt.

    freundliche Grüße Thomas

    Montag, 13. April 2015 21:48