none
RemoteDesktopLizenzierungs-Manager casesensitive RRS feed

  • Frage

  • Auf einem Server 2019 DC läuft der RD Lizenzierungs-Manager. Er vergibt Pro User Lizenzen an einen Server 2019 RDS. Je nach Schreibweise des Usernamens bei der Anmeldung am RDS werden mehrere Lizenzen an den gleichen User vergeben.

    Meldet sich der User Maier einmal mit Schreibweise "Maier" und später mit "maier" an finde ich im Lizenz-Manager, dass "domain\Maier" und "domain\maier" je eine Lizenz zugewiesen wurde. Ich vermute, dass auch "MAIER" und "MAier" eigene Lizenzen erhalten würden (will es aber nicht ausprobieren). Alleine für Maier müsste ich also 2^5 = 32 CALs vorsehen.

    Das ist wohl ein Bug, der dringend behoben werden sollte?

    Andreas Klier

    Freitag, 5. April 2019 22:47

Antworten

Alle Antworten

  • Moin,

    was steht denn im User-Objekt von Maier im AD? Ist da eine ausgecheckte Lizenz drin? Was passiert, wenn Du sie im AD löschst?

    Evtl. ist es bloss ein Anzeigeproblem, und funktional hat es eh keine Auswirkungen, da die User-RDSCALs ja nicht getrackt werden.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Samstag, 6. April 2019 07:38
  • Danke für die flotte Antwort!

    Sollte ich das im ADSI-Editor als Attribut des Users sehen? - Dort ist nichts zu finden.

    Der Lizenzmanager zeigt jedenfalls beide Schreibvarianten des Users mit korrektem Ausstellungs- und Gültigkeitsdatum an. Es wurden ca. 50% mehr CALs vergeben, als vorhanden sind. Der RDS beschwert sich, dass keine Lizenzen zur Verfügung stehen.

    Andreas Klier

    Samstag, 6. April 2019 15:46
  • Moin,

    ja, ADSI-Editor oder auch ADUC im erweiterten Modus. Diese Attribute musst Du betrachten:

    im "Managing LS" muss die Lizenzserver-ID stehen, die Du in seinen Properties findest.

    Sind die Attribute leer, so hat der LS trotz seiner Eigenschaft als DC nicht das Recht, sie zu beschreiben. Normalerweise wird dieses Recht über die Gruppe "Terminalserver-Lizenzserver" (SID 1-5-32-561) vergeben, aber auch das habe ich schon verbogen gesehen.

    Kann der LS die Lizenz nicht ins User-Objekt schreiben, so hat er keine Kenntnis davon, dass domain\maier und maier dieselbe Person ist, und stellt die Lizenz nochmal aus.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Samstag, 6. April 2019 15:57
  • Die Attribute sind <Nicht festgelegt>.

    In der "Terminalserver-Lizenzserver"-Gruppe ist der DC Mitglied, das sind alle Rechte der Gruppe auf das Userobjekt:

    Der "Remotedesktoplizenzierung"-Dienst läuft unter Account "Netzwerkdienst", der hat keine Rechte auf das Userobjekt.

    Andreas Klier

    Samstag, 6. April 2019 17:30
  • Das ist vermutlich auch das Problem: Gegenüber anderen Ressourcen hat "Network Service" die Identität des Computer-Objektes und wäre daher über die Gruppe berechtigt. Wie es beim Zugriff auf die gleiche Maschine ist, kann man schwer sagen.

    Allerdings sieht man in Deinem Post die Rechte der Gruppe nicht, vielleicht fehlen da welche?

    Du musst hinkriegen, dass die Lizenzen ordentlich im AD ausgecheckt werden, dann wird das Problem weggehen.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Samstag, 6. April 2019 18:38
  • Beim vorigen Post ist der Screenshot nicht mitgekommen.  Das sind alle Rechte der Gruppe auf das Userobjekt:


    Samstag, 6. April 2019 18:59
  • Ja, das ist so wie es sein soll. Versuch mal, den LS auf einen anderen Server zu legen, der kein DC ist.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Samstag, 6. April 2019 19:01
  • Zwei User sind Mitglied von "Domänen-Admins", bei denen werden die TS-Attribute eingestragen.

    Eine "Zwillingsinstallation" bei einem anderen Kunden, allerdings auf Basis Server 2016, LS ebenfalls auf einem DC, gleiche Berechtigungen, funktioniert.

    Habe die Rechte mit dem PS-Script in https://windoh.wordpress.com/2012/04/17/remote-desktop-licensing-server-cant-update-attributes-of-ad-user-3/ nocheinmal gesetzt: Problem besteht weiter.

    Im Eventvwr sehe ich keine entsprechenden Fehler (4105).

    Auf einen nicht-DC kann ich im Moment nicht ausweichen.

    Für LS auf DC muss der "Netzwerkdienst" Mitglied der "Terminalserver-Lizenzserver" sein, das ist auch gegeben.

    Kann ich dieses Problem zunächst anstehen lassen?

    Vielen Dank für Deine Hilfe bisher.

    Andreas Klier

    Samstag, 6. April 2019 21:44
  • Ich habe gerade die (für Anmeldung am RDS berechtigten) User in die Gruppe "Terminalserver-Lizenzserver" aufgenommen. Siehe da: Die TS-Lizenzinformationen werden nun korrekt eingetragen.

    Gibt es da Sicherheitsbedenken?

    Andreas Klier

    Montag, 8. April 2019 07:17
  • Moin,

    naja, die User könnten einander die RDS CAls kaputt schreiben. Alternative wäre, man gibt jedem davon die Berechtigung "TS Informationen lesen und schreiben" auf seinem eigenen User-Objekt. 


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 8. April 2019 08:28
  • Eigentlich sollte diese Informationen doch der "Netzwerkdienst" schreiben.

    Hat sich da im Server 2019 etwas geändert?

    Andreas Klier

    Montag, 8. April 2019 11:51

  • Hat sich da im Server 2019 etwas geändert?

    Offensichtlich ;-)

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 8. April 2019 12:29