none
PB sur une ferme RDS 2012 R2 : demande le login 2 fois et PB clavier Num RRS feed

  • Question

  • Bonjour,

    Je rencontre un souci en prod sur l’ infra RDS de ma ferme 2012 R2 sur lequel je n’étais pas tombé lors de mes phases de tests.

    1) A l’ouverture de session, certains utilisateurs tapent leur mot de passe et valident leur login. La session commence à s’ouvrir puis on retombe aussi tôt sur l’écran de login. L’utilisateur retape son mot de passe une seconde fois et ça passe.

    2) Sur certains utilisateurs à la seconde tentative le clavier numérique est inversé (allumé mais pas de chiffes actifs). On l’éteint et les chiffres sont OK. Aussi, si je réduit et agrandit la fenêtre du client MSTSC sans toucher la touche VerrNum le clavier refonctionne.

    Mon environnement est composé d'un broker et 2 serveurs RDS plus un troisième où sont stockés les PDU (profils Disk Users). On se connecte uniquement par le client Microsoft (MSTSC) en interne, je n’ai pas de passerelle des services Bureau à distance.

    J'utilise le DNS / Round Robin et le nom d'ordinateur dans le client MSTSC est mon alias DNS .

    Je n'utilise pas de certificats ni de système SSO.

    L’authentification NLA est désactivée car incompatible avec les comptes où les mot de passes expirent au bout de X jours. Ce paramètre est définit sur les serveurs (broker + RDSH) ainsi que dans les paramètres de la collection et également par la GPO:  Requérir l’authentification utilisateur pour les connexions à distance au serveur Hôte de session Bureau à distance à l'aide de l’authentification au niveau du réseau = désactivé

    J'ai également configuré cette GPO "Configurer l’authentification du serveur pour le client" avec la valeur = Toujours se connecter, même si l’authentification échoue.

    J'ai aussi appliqué ce paramètre trouver sur un thread Microsoft US :Please enable both “Allow Delegating Default Credentials” and “Allow Delegating Default Credentials with NTLM-only server Authentication” policies under Computer Configuration\Administrative Templates\System\Credentials Delegation, add "TERMSRV/*”(without quotes) as both policies content.

    Je n'ai pas utilisé d'autres GPO des Services Bureau à Distance.

    La version du client MSTSC est la dernière: v8.1. J’ai activé les périphériques PnP dans l'onglet Ressources Locales (vu sur un autre thread. Aussi, l'authentification du serveur est paramétrée sur: établir la connexion sans avertir dans l'onglet Avancé.

    Sur le broker j’ai des évènements normaux pas d’erreur : session utilisateur x ajouté à la DB Service Broker et aussi : le service Broker pour les connexions Bad à correctement traité la demande connexion pour l'utilisateur x.

    je suis sur le problème depuis 15J et j’ai essayé des trucs pour 2008 mais qui ne fonctionnent pas pour 2012.

    Apparemment sous 2008 le problème existait déjà, mais je manque de retours d’expériences pour avancer.

    Dans les déploiements que vous avez fait de cette solution, avez-vous eu ces problèmes?

    Quelle peut en être la cause?

    est ce qu'il me manque des composants ou fonctionnalités ?

    Merci pour votre aide et votre temps.

    Cordialement.


    Stephane SILANO

    • Type modifié Emile Supiot jeudi 1 octobre 2015 08:01 pas de solution définitive
    • Type modifié Emile Supiot lundi 14 décembre 2015 13:42
    mardi 1 septembre 2015 09:31

Réponses

  • Il n'y a pas de solution de contournement, si votre infra RDS est bien configurée, le SSO doit fonctionner correctement "sans trop bidouiller" ni passer par 36mille login /password.

    Depuis les propriétés du déploiement RDS, il faut se rendre sur le vole "Certificats", il faut simplement créer (ou importer) des certificats 'trusted' provenant d'une PKI (interne ou public) au niveau du :

    > Service Broker : Publication (qui couvre la partie RDSH)

    > Service Broker : Authentification Unique (qui couvre l'authentification SSO)

    Le certificat doit (obligatoirement) être déclaré côté end user (poste de client travail) et présent dans leur store de certificat (MMC > Certificat > Local Ordi).

    A partir de ce moment la, tout ordinateur membre du domaine AD dont lequel votre infra RDS fait partie pourra se connecter sans problème sur vos serveurs RDS de publication (RDSH) :

    > Depuis le RD Web 

    > Depuis les RemoteApp disponibles sur le bureau ou menu Démarrée.

    > Ouverture d'un simple Bureau Windows sur un serveur RDS

    D'ailleurs, quand le SSO est configuré correctement (certificats SSL bien importés et configuré), un message de notification apparaît vous indiquant que vous êtes déjà connecté sur votre espace de travail RDS (Work Resources par défaut).

    Tous les projets réalisés chez mes clients n'ont jamais eu de probleme de double authentification, encore une fois, à partir du moment ou la partie "Certificats SSL" est configuré correctement, aucune phase d'auth supplémentaire n'es demandée.

    A+
    HK.


    Hicham KADIRI | Just Another IT Guy
    eBook RDS 2012 R2 désormais disponible !


    lundi 14 décembre 2015 13:03

Toutes les réponses

  • Bonjour Stephane,

    Bien que ce ne soit pas un problème identique au votre pour le pavé numérique je vous invite à consulter ce thread (que vous avez peut-être déja vu). En espérant que cela puisse vous donner des piste.

    Malheureusement je n'ai aucune informations pertinentes sur la double demande d'authentification.

    Cordialement,

    Emile


    Votez! Appel à la contribution TechNet Community Support. LE CONTENU EST FOURNI "TEL QUEL" SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution.

    mercredi 2 septembre 2015 13:59
  • Bonjour Emile,

    Merci pour cette info que j'avais déjà vue. Je ne compte plus le nombre de pages web que j'ai consulté pour cerner mon problème.

    Je pense à un PB d’authentification ou de sécurité sans n'être sure de rien.

    J'avoue que c'est un peu tordu et en même temps aléatoire.

    Si quelqu'un a d'autres idées. Merci.

    Cordialement.


    Stephane SILANO

    mercredi 2 septembre 2015 14:47
  • Bonjour SSo13,

    Ci-après les réponses à vos questions :

    1) Problème de SSO, généralement lié au certificat SSL du déploiement utilisé par le service Broker.

    2) Problème de configuration des ressources & périphériques à rediriger sur les Sessions Bureau à distance. revoir les options de redirections définies sur votre Collection de Session RDS.

    Vous parlez de DNS RR pour les hôtes de Session, il faut savoir que cette technique s'applique uniquement aux hôtes de Sessions sous RDS 2008 et 2008 R2. Depuis RDS 2012 et 2012 R2 microsoft a intégré un système d'équilibrage de charge natif dans un déploiement RDS, il suffit d'avoir deux serveurs Hôte de session dans un déploiement, éditez les propriétés de votre collection > volet "Equilibrage de charge" et configurer la charge supportée et nombre de session maximales par serveur. plus besoin de DNS RR pour les services de rôles Hote de la session.

    Les certificats SSL & SSO sont des options auto-configurées /présentes par défaut sur un déploiement RDS 2012 et 2012 R2.
    le SSO est auto configuré dans un environnement comportant uniquement Windows Server 2012 /2012 R2 et Windows 8 /8.1
    Si votre parc comporte des versions OS antérieurs à ces versions (Win7, Vista, XP ...), dans ce cas la il faudrait configurer les options de délégation d'information d'identification pour faire fonctionner le SSO avec ces OS Clients.

    Je me permets de corriger l'informationn concernant l'authentification au niveau du réseau (NLA), ce n'est pas les comptes ou leurs mots de passes associés qui peuvent être incomaptible mais plutôt les postes clients et plus particulièrement les OS clients.
    En effet, la NLA nécessite le fournisseur de sécurité CredSSP pour vérifier et valider les logins /password des utilisateurs RDS avant de créer leurs sesssions.
    la NLA supporte par défaut : Windows 10 /8.1 /8 /7 /Vista voire même Windows XP mais avec SP3 :).
    C'est une option activée par défaut sur votre Collection, donc les postes clients se connectant sur votre infrastructure RDS passe par la NLA forcement.

    La solution de votre problème consiste simplement à revoir la configuration des certificats SSL "auto-signés" générés lors du déploiement RDS et les importer sur les postes clients pour éviter toute resaisie du mot de passe.
    Revoir aussi les options de redirection des périphériques et ressources locales et notamment les "Périphériques Plug & Play" pour l'histoire du clavier.

    C'est vrai qu'entre RDS 2008 /2008 R2 et RDS 2012 /2012 R2, tout a été retravaillé, on parle ici d'une version majeure, donc il faut éviter de reproduire les anciennes techniques et méthodes de configuration sur cette nouvlle version.

    j'ai écri un livre sur RDS 2012 /2012 R2 si cela vous intéresse, il détaille toutes les instructions qui vous permettent de déployer et configuration correctement votre infra. tous mes retours d'expérience sont détaillés ici sur ce livre :
    Disponible format ebook (pdf) sur youscribe.com
    Disponible format papier sur amazon.fr

    N'hésitez pas si vous avez d'autres questions.
    A+
    HK.


    Hicham KADIRI | Just Another IT Guy

    dimanche 6 septembre 2015 17:17
  • Bonjour Hicham,

    On avait échangé il y a quelque temps durant le démarrage de mes tests.

    La solution la plus simple était le RR avec les enregistrements DNS des 2 RDSH que je paramètre dans mon client MTSC.

    J’évoquais la piste du SSO dans ce thread car j’ai relevé des problèmes de double authentification sur différents forums. Mais ce n’est pas quelque chose d’activé dans mon infra.

    Aujourd’hui, nous avons un seul serveur RDS sous 2008R2 ou j’ai 60 utilisateurs qui se connectent avec le client MSTSC pour accéder à leur bureau. Les connexions sont uniquement en internes avec des postes sous W7 et W8.1.

    J’ai un message d’avertissement car l’identité du serveur n’a pu être vérifié étant donné que nous n’utilisons pas de certificats externes ou auto signés. Mais cela ne gêne en rien le fonctionnement. On passe l’alerte.

    Le but est de migrer ce serveur RDS vers une ferme pour avoir 30 connexions réparties sur 2 serveurs RDSH avec une répartition de charge en améliorant la disponibilité pour les utilisateurs. On reste dans le même mode de fonctionnement, connexions internes avec le client Microsoft MTSC.

    Je souhaite rester sur quelque chose de simple.

    1. Si le RR n’est plus d’actualité avec 2012, est ce que je dois supprimer les enregistrement DNS ? et que dois-je renseigner dans mon client MSTSC comme nom d’ordinateur.
    2. Concernant les certificats, sur le 2008 il n’y en a pas. Dans les propriétés de mon déploiement 2012, tout est en : Non configuré.

    Si je comprends bien la cause de ma double authentification est l’absence de certificats ? Si la fonction  SSO n’est pas une obligation,  j’aimerais m’en passer pour éviter de complexifier la solution. Est-ce possible ?

    1. Au sujet du NLA, j’ai rencontré ce problème évoqué dans un autre thread : https://social.technet.microsoft.com/Forums/fr-FR/9dab054a-1a5a-4e5a-99b1-6e6efd0f0de8/problme-connexion-rds-avec-mot-de-passe-temporaire?forum=windowsserver8fr et c’est pour cela que je l’ai désactivé sur le serveur, dans la collection et par GPO. Est-ce que le problème de la double authentification peut venir aussi du mode NLA ?
    2. Quant au problème de clavier, tout est bien paramétré dans la collection, Périphérique P&P est coché ainsi que dans les ressources locales dans le client MSTSC.

    Je ne vois pas ce qui peut causer ce problème.

    1. J’ai vu la semaine dernière sur ton blog la publication de ton livre. Je l’ai reçu ce samedi et il va bien me servir pour finir les quelques paramétrages restants. J’ai installé également RDV DIAG sur le broker mais pourquoi lorsque je l’exécute je n’ai rien dans le premier onglet. Les infos ne remontent pas.

    Merci pour toutes ces infos.

    Cordialement Stéphane SILANO


    Stephane SILANO

    dimanche 6 septembre 2015 22:37
  • Bonjour Stéphane,

    Avez-vous trouvé une solution ?

    Cordialement,

    Emile


    Votez! Appel à la contribution TechNet Community Support. LE CONTENU EST FOURNI "TEL QUEL" SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution.

    lundi 28 septembre 2015 10:18
  • Bonjour Emile,

    Non je n'ai toujours pas trouvé de solution.

    Je poursuis mes tests et j'ai installé une autorité de CA sur mon DC.

    Je vais voir aussi pour mettre en place le système Single Sign On afin de voir si cela me règle le PB d'ouverture des sessions.

    Cordialement.


    Stephane SILANO

    lundi 28 septembre 2015 12:10
  • Bonjour sso13,

    Je rencontre le même problème de double authentification dans ma ferme RDS (1 brocker + 3 serveurs RDS).
    Avez vous trouvé une solution ?

    Cordialement,

    E.C

    lundi 14 décembre 2015 09:19
  • Bonjour,

    Je n'ai pas trouvé de fonctionnement satisfaisant en mode classique. comme sous Win2008.

    En ce qui me concerne, je ai pu utiliser le principe du SSO entre le broker et les serveurs RDS uniquement. car le login sur le poste local des miniPC que nous avons n'est pas le même sur la ferme RDS. J'utilise un compte unique pour le premier login pour tous les postes client afin de verrouiller par GPO cet utilisateur. Dans le cas contraire, si l'utilisateur était le même en local et sur la ferme RDS alors j'aurais pu utiliser le SSO directement depuis les postes clients. Je pense que ça aurait pu régler le problème étant donné que l'utilisateur se signait une seule fois. A confirmer.

    Pour contourner la double authentification, j'ai été obligé de passer par l'authentification NLA qui  ne permet plus aux utilisateurs d'avoir la possibilité de changer leur mot de passe après expiration sur la ferme RDS.

    Par contre il existe un moyen en passant par la page web du broker de pouvoir présenter au utilisateur un accès pour changer leur mot de passe eux-mêmes. Ça nécessite quelques paramétrages dans IIS pour adapter la page.

    Du coup ils ont 2 icônes, un pour se connecter à la ferme et un autre pour changer de mot de passe au cas où ils en auraient besoin. Sinon j'ai bien mis l’accent sur la combinaison des touches CTRL + ALT + FIN pour qu'ils changent de password avant expiration.

    info sur le SSO et la mise en place des certificats:

    http://www.miru.ch/single-sign-on-in-rds-2012-demystified/

    lien pour mettre en place le changement de mot de passe sur la page web: c'est du 2008, mais le principe est identique sur 2012. A adapter.

    http://microsoftplatform.blogspot.fr/2012/11/password-change-option-also-available.html

    En espérant avoir éclairci le sujet d'après mon expérience.

    Cordialement Stéphane SILANO


    Stephane SILANO

    lundi 14 décembre 2015 11:18
  • Il n'y a pas de solution de contournement, si votre infra RDS est bien configurée, le SSO doit fonctionner correctement "sans trop bidouiller" ni passer par 36mille login /password.

    Depuis les propriétés du déploiement RDS, il faut se rendre sur le vole "Certificats", il faut simplement créer (ou importer) des certificats 'trusted' provenant d'une PKI (interne ou public) au niveau du :

    > Service Broker : Publication (qui couvre la partie RDSH)

    > Service Broker : Authentification Unique (qui couvre l'authentification SSO)

    Le certificat doit (obligatoirement) être déclaré côté end user (poste de client travail) et présent dans leur store de certificat (MMC > Certificat > Local Ordi).

    A partir de ce moment la, tout ordinateur membre du domaine AD dont lequel votre infra RDS fait partie pourra se connecter sans problème sur vos serveurs RDS de publication (RDSH) :

    > Depuis le RD Web 

    > Depuis les RemoteApp disponibles sur le bureau ou menu Démarrée.

    > Ouverture d'un simple Bureau Windows sur un serveur RDS

    D'ailleurs, quand le SSO est configuré correctement (certificats SSL bien importés et configuré), un message de notification apparaît vous indiquant que vous êtes déjà connecté sur votre espace de travail RDS (Work Resources par défaut).

    Tous les projets réalisés chez mes clients n'ont jamais eu de probleme de double authentification, encore une fois, à partir du moment ou la partie "Certificats SSL" est configuré correctement, aucune phase d'auth supplémentaire n'es demandée.

    A+
    HK.


    Hicham KADIRI | Just Another IT Guy
    eBook RDS 2012 R2 désormais disponible !


    lundi 14 décembre 2015 13:03
  • "Si le RR n’est plus d’actualité avec 2012, est ce que je dois supprimer les enregistrement DNS ? et que dois-je renseigner dans mon client MSTSC comme nom d’ordinateur."

    Cette question n'a pas eu de réponse et j'aimerais bien connaitre la réponse :)

    vendredi 12 avril 2019 09:31
  • Bonjour Troublestarter,

    Dans le cas où un service broker est disponible, il faut établir la connexion client par celui-ci directement.

    Il faut donc dans votre fichier RDP, indiquer le serveur broker ainsi que le nom de la collection où passer par le portail RDWEB pour avoir le fichier RDP de la connexion.

    Sinon vous trouverez un générateur de fichier ici.

    Romain

    samedi 13 avril 2019 09:14
  • Bonjour,

    Avez-vous trouver une solution ?

    Je peux vous proposer d'aller dans l'onglet "avancé" de l'appli Bureau à distance puis "paramètres" et cocher la dernière case : "Utiliser mes infos d'authentification de passerelle bureau à distance pour l'ordinateur distant".

    Cordialement, Clément

    mardi 8 décembre 2020 11:52