none
Verbindungsbroker bei Remote Desktop Services RRS feed

 > 

  • Allgemeine Diskussion

  • Discussion
    Anmelden
    0
    Anmelden

    Guten Tag,

    ich habe nach sehr langer Suche immer noch keine Aussage und keine Lösung zu dieser Problemstellung.

    In einer Testumgebung laufen mehrere Windows Server 2012.

    Ich habe Remote Dekstop Services aufgesetzt und verschiedenen Servern diverse Rollen gegeben.

    1x RDS-Gateway Server, 2x RDS Session Host, 1x DC mit AD usw 1x RDS mit Verbindungsbroker und Web Access.

    Die beiden Session Hosts sind in einer Farm.

    Wenn ich mit einem Client im gleichen Netz darauf zugreife( ich habe eine Sitzungssammlung mit allen Benutzern und meinen zwei Session Hosts mit einem Loadbalancing von 50/50) dann ist der Verbindungsbroker aktiv und schickt den zweiten Benutzer der sich gegen die Farm verbindet automatisch auf den anderen Server (Vollkommen korrekt.) 

    Nun zu meiner Frage. Ich habe danach zwei Sitzungssammlungen mit jeweils einem Session Host gemacht. Diese Sitzungssammlungen haben unterschiedliche Benutzergruppen. Nun ist meine Frage: kann mich der Verbindungsbroker anhand meiner Benutzerkennung ohne Lastenausgleich usw. auf einen Session Host verbinden? Denn bisher klappt dies leider nicht. Das z.B. Person A nur auf Session Host A kommt wenn ich auf die Farm zugreife und Person B nur auf Session Host B. Und das anhand der Einstellungen in der Sitzungssammlung.

    Hoffe auf eine Rückmeldung.

    Freundliche Grüße

    Donnerstag, 5. März 2015 15:24
    |

Alle Antworten

  • Discussion
    Anmelden
    2
    Anmelden
    Hi,
     
    Am 05.03.2015 16:24, schrieb A.Schüngel:
    > kann mich der Verbindungsbroker anhand meiner Benutzerkennung ohne
    > Lastenausgleich usw. auf einen Session Host verbinden?
     
    Ich denke nein.
     
    Du verbindest deine RDP Session ja nicht mit dem RDS Session Host,
    sondern baust für jeden deiner Session Hosts einen gleichnamigen DNS
    Eintrag und über den verbindest du dich.
     
    Dein DNS schickt dich jetzt zu einem "beliebigen" Session Host (Round
    Robin), bevorzugt den in deinem Netzwerk (NEtmask Filtering). Der
    Session Host fragt jetzt den Connection Broker ob er selbst oder ein
    anderer die Sitzung annehmen soll und der "Chef" entscheidet und leitet
    die Sitzung weiter.
     
    Deine Benutzerauthentifizierung/Sicherherheitsgruppe ist an der Stelle
    noch nicht aufgetaucht. Eventuell kannst du es über deinen NPS und den
    TS-RAP Richtlinien steuern? Das habe ich noch nicht probiert.
     
    In den RAPs kannst du die Ressourcen definieren, die Zielserver, die
    eine Sicherheitsgruppe ansprechen und verwenden darf.
     
    Alternativ wäre der Weg über die Veröffentlichung der RemoteApps oder
    auch RDP Fullsessions auf der Webseite, die können auch nach SiGruppe
    definiert werden.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Donnerstag, 5. März 2015 15:49
    |
  • Discussion
    Anmelden
    1
    Anmelden

    Vielleicht mal noch zum besseren Verständnis und aus eigener Erfahrung:

    Das was du vorhast geht schlicht nicht richtig. Zu Mark kann ich ergänzen das das mit den RAPs auch nicht funktioniert. Was auch eigentlich wiedersinnig und nicht dem Farm-Design (von MS) entspricht. Microsoft spricht bei einer TS Farm immer von identischen Maschienen/ Installationsständen.

    Mit den RAPs kannst du zwar steuern wer sich wo anmelden soll, jedoch funktioniert das nur bedingt. Wie schon erwähnt wird erst bei der Anmeldung geprüft ob sich der User an diesem TS anmelden  darf, darf er das nicht bekommt er eine Fehlermeldung, sinnigerweise sollte der Broker das wissen und den User dann entsprechend umleiten, dem Broker ist das aber egal. Das Grundproblem ist ja auch, das du nicht direkt eine Verbindung zu z.B. RDS1 und RDS2 aufbauen kannst solange die in einer Farm sind, wenn du das probierst, dann sprudeln beim anmelden auch Fehlermeldungen.

    Die Chance steht bei 2 Servern 50:50 (wenn der User an einem darf und an einerm andern nicht) - das die Anmeldung klappt oder er ein Fehlermeldung bekommt, das ist dann aber auch keine befriedigende Implementierung. Microsoft Best Practice ist bei einer solchen Konstellation den TS mit den Sonderanwendungen komplett aus der Farm raus zu lassen und gesondert zur Verfügung zu stellen.

    RemoteApps sind m.E. nach auch nicht unbedingt das wahre bei deiner Problemstellung, da gilt es wieder andere Hürden zu umschiffen.

    Lange Rede kurzer Sinn, fragen wir doch mal anders herum: Was versuchst du damit zu bezwecken?

    freundliche Grüße Thomas

    Donnerstag, 5. März 2015 18:26
    |
  • Discussion
    Anmelden
    1
    Anmelden

    Moin,

    der Broker verbindet den Benutzer mit einem beliebigen Session Host der Sammlung; gemäß der Vorgaben für das Loadbalancing. Eine Differenzierung innerhalb einer Sammlung ist nicht vorgesehen.

    Die Zuordnung der Benutzer erfolgt dabei per AD Sicherheitsgruppe. In den Sammlungseigenschaften kann das konfiguriert werden - Standard ist afair authentifizierte Benutzer oder Domänen-Benutzer. Die Sicherheitsgruppe wird zum Mitglied der lokalen Gruppe Remotedesktopbenutzer auf den Hosts.

    Falls Du die Hosts 'recycled' hast, wurden eventuell die Gruppenmitglieder auf den Session Hosts nicht vollständig bereinigt.

    ---

    @Maik:

    Das Thema DNS Round Robin wird seit 2012 nur noch für einen hochverfügbaren Broker und nicht mehr für die RDS Hosts eingesetzt. Es geht zwar auch noch mit den RDS Hosts, der weg ist aber obsolet.

    Der Broker 'sitzt' jetzt vor den Session Hosts und verteilt die Sitzungen bereits im Vorfeld. Einen Connect und Redirect wie noch unter 2008R2, gibt es in der Form nicht mehr.

    This posting is provided AS IS with no warranties.

    Donnerstag, 5. März 2015 20:09
    |
  • Discussion
    Anmelden
    1
    Anmelden
    Moin,
     
    Am 05.03.2015 21:09, schrieb Dark Grant:
    > Der Broker 'sitzt' jetzt vor den Session Hosts und verteilt die
    > Sitzungen bereits im Vorfeld. Einen Connect und Redirect wie noch unter
    > 2008R2, gibt es in der Form nicht mehr.
     
    Danke schön!
     
    Die mstsc Verbindung rufe ich aber immer noch über den DNS "Farm Namen"
    auf. Wenn ich die Verbindung direkt zum Broker machen will kommt eine
    Fehlermeldung.
     
    2008:
     
    .. so habe ich es die Tage noch konfiguriert, das ist wie unter 2008
     
    Hat sich nur der "dahinterliegende" Kommunikationsweg von Session Host
    zu BRoker geändert?
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Donnerstag, 5. März 2015 20:41
    |
  • Discussion
    Anmelden
    2
    Anmelden

    Direkt per RDP Client ist eine Verbindung über den Broker nicht ohne weiteres möglich. Es fehlt der Parameter für die Sammlung, mit der verbunden werden soll. In einer per Web oder Feed veröffentlichten RDP-Datei kann man die neuen Parameter finden.

    loadbalanceinfo:s:tsv://MS Terminal Services Plugin.1.[Sammlung]

    Bei 2012 wird tatsächlich der Broker zuerst angesprochen und die Umleitung erfolgt anhand der Parameter in der RDP Datei.

    Es gibt einen Weg, auf dem Broker eine Standard Sammlung zu definieren. Dann wird jede RDP Verbindung an den Broker, in der keine Sammlung explizit angegeben ist, auf diese Sammlung umgeleitet. (Der Administrator ebenfalls, wenn er nicht den /admin Switch für den Broker benutzt)

    http://ryanmangansitblog.com/2013/03/11/connection-broker-redirection-rds-2012/

    Ryan hat zu dem Theme eine Reihe guter Artikel auf seinem Blog

    This posting is provided AS IS with no warranties.

    Freitag, 6. März 2015 08:17
    |
  • Discussion
    Anmelden
    1
    Anmelden
    Hi,
     
    Am 06.03.2015 09:17, schrieb Dark Grant:
    > Direkt per RDP Client ist eine Verbindung über den Broker nicht ohne
    > weiteres möglich. Es fehlt der Parameter für die Sammlung, mit der
    > verbunden werden soll. In einer per Web oder Feed veröffentlichten
    > RDP-Datei kann man die neuen Parameter finden.
     
    Danke dir. Aber nur noch mal bis ich es begreife:
    Wenn ich die DNS Einträge setze, dann müssten doch aus Sicht der
    Namensauflösung weiterhin Round Robin und Network Masqerading gelten.
     
    Alternativ könnte ich jetzt seit 2012 die DNS Einträge weglassen und in
    der Verbindung den Schalter mitgeben?
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Montag, 9. März 2015 09:27
    |