none
Windows 2012r2 les ouvertures de sessions distantes sont actuellement desactivées

    Question

  • Bonjour

    INFRASTRUCTURE :

    AD 2008r2 / DNS 2008r2 / HYPERv 2012r2 /1xRDS 2008r2 / 1x RDS 2008r2 / 1x RDS+LIC 2012r2

    Les serveur RDS contiennent chacun une application professionnel.

    Toute l'infrastructure est virtualisé sous HYPERv 2012r2 depuis 01/01/2018.

    PROBLÈME :

    Depuis ce matin j'ai un problème pour accéder à un serveur RDS 2012r2 (application)

    Lors de connexion RDS, cela m'indique"les ouvertures de sessions distantes sont actuellement désactivées"

    Donc plus possible de se connecter en RDS (même avec le compte administrateur du domaine).

    Je ne suis pas un expert de RDS quelqu'un a une idée?

    (en attendant je vais approfondir de mon coté)


    Un MCSE un peu perdu...





    vendredi 2 mars 2018 10:56

Réponses

  • Puis de lui donnée les droits lire et écrire sur les objets utilisateurs du domaine.

    J'espère que tu n'as pas fait ca, mais que tu as bien donné les permissions "Read Terminal Server License Servers" et "Write Terminal Server License Servers" :)

    Dans le cas contraire tu as été beaucoup trop permissif et tu exposes ton annuaire à une prise de contrôle rapide (en gros, avec le compte système d'un serveur membre du groupe, je peux modifier n'importe-quel objet de ton annuaire... De là à passer Admins du domaine, y'a qu'un pas).

    Sinon, pour le nettoyage, tu l'as fait vu tes commentaires :)


    dimanche 11 mars 2018 11:00
  • Bonjour Sanio74,

    Pour qu'un serveur de Licence RDS fonctionne correctement, les trois actions post-déploiement suivantes doivent être configurées : 

    1. Activer le serveur de Licence RDS (click-droit depuis le noeud parent de la console Gestionnaire de Licence > Activer le serveur > suivre l'assistant pour une activation via Internet ou by Phone).

    2. Ajouter le compte Ordinateur du serveur de Licence dans le groupe de sécurité AD " Terminal Server License Servers group "

    Note : les serveurs dont les objets Ordinateurs AD sont membres du groupe "Terminal Server Licence Servers' disposent automatiquement de tous les droits nécessaires (Lecture/Ecriture) sur tous les objets AD "Users".

    3. (de préférence) Forcer l'utilisation du serveur de Licence RDS ainsi que le mode de Licence via GPO

    Pour info, vos end users RDS ne sont pas bloqués car vous avez sélectionné le mode "Per-User". Il s'agit d'une faille interne au rôle RDS qui continue à autoriser les connexions BàD, sans même avoir besoin d'installer de Licence.

    Maintenant, si vous avez configuré les trois options ci-dessous, le serveur de Publication (Hôte de Session), va pouvoir demander au serveur de Licence la valeur d'attribut de user AD (utilisateur distant) pour savoir s'il dispose déjà une Licence RDS ou doit lui en attribuer une.

    Si le problème persiste, c'est qu'il s'agirait d'un problème lié à l'écriture sur objets AD et non pas aux services de rôles RDS (RDSH/RDLS).

    Je vous inviterai dans ce cas à me contacter directement par mail, je vous aiderai à résoudre votre incident.

    On publiera la solution ici pour partager l'info avec les autres membres de la communauté

    A bientôt

    #HK


    Hicham KADIRI | Just Another IT Guy
    Livre de référence RDS 2012 R2 désormais disponible !
    RDS 2012 R2 reference book is now available !
    Découvrez tous mes eBooks )


    lundi 12 mars 2018 22:36

Toutes les réponses

  • Bonjour sanio74,

    Veuillez consulter l'article suivant (l'information est en anglais, je suis à votre disposition pour toute question complémentaire):
    Remote logins are currently disabled

    Cordialement,
    Teodora


    Votez! Appel à la contribution TechNet Community Support. LE CONTENU EST FOURNI "TEL QUEL" SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution.

    vendredi 2 mars 2018 16:15
    Modérateur
  • Merci pour votre lien Teodora.

    En me connectant en physique j'ai vu que la case"Autoriser..." décoché.

    Donc je l'ai cocher.

    J'ai vérifié le serveur de licence et celui ci n’était pas dans le groupe des serveur de licences.

    Une fois ajouté, le diagnostique de licence m'indique tout OK en vert.

    Un redémarrage et le message:

    "les ouvertures de sessions distantes sont actuellement désactivées" n'apparait plus.

    Cependant j'ai le message suivant qui apparait dans les logs.

    Cela a chaque utilisateur qui tente d'ouvrir une session.

    Apparemment cela ne bloque pas l'utilisateur, celui ci peut ouvrir sa session RDS.

    En creusant un peu du coté serveur de licence 2012r2.

    Il y a 0 de émise ...

    J'ai aussi un serveur de licence sur le serveur RDS 2008r2 avec les mêmes informations.

    Je pense que le problème vient des serveurs de licences.

    Après avoir appelé les techniciens qui on déployé le serveur RDS :

    Les licences ont été migré du serveur de licence 2008 vers le serveur de licence 2012. Cependant une erreur lors de la migration a empêché la suppression automatique de l'ancien serveur de licence en 2008r2. Donc ils ont laissés les deux serveurs de licences.

    -Je dois faire quoi ? supprimer l'ancien serveur de licence RDS 2008R2?

    -ou laisser les deux... (mais avec le risque d'avoir peut être ... au bout de quelques temps "les ouvertures de sessions distantes sont actuellement désactivées") ?

    -c'est quoi les bonnes pratiques LICENSING RDS avec deux serveurs RDS 2008r2 et un autre en 2012r2 ?


















    lundi 5 mars 2018 11:43
  • Bonjour,

    Même pas une idée ?

    J'ai loupé un épisode... (104 vue... rien) c'est moi ou l'air du FORUM est glaciale :)

    N’hésitez pas a me dire s'il y a un problème.

    Cordialement


    Un MCSE un peu perdu...







    vendredi 9 mars 2018 12:51
  • Salut Sanio,

    commence par nettoyer proprement la migration des licences vers le nouveau serveur. Ensuite, il ne s'activera qu'à la cinquième demande, pas avant. Coté bonne pratique, je dirais qu'un seul serveur suffit, en général - j'en ai jamais vu plus et pourtant je tapais des environnements assez grands. Mais je ne suis pas expert sur le sujet..

    vendredi 9 mars 2018 22:29
  • Hello Sania74,

    Le message que vous décrivez me fait penser au "Drain Mode" du serveur RDS.

    Je pense que votre serveur est simplement en mode Maintenance, du coup plus aucune nouvelle connexion possible :).

    How To Fix ?

    Eh bien, c''est assez simple.

    1. Se connecter en mode Vm Console sur le serveur en question

    2. Ouvrez Une session Windows 

    3. Lancez CMD.exe (Run as Admin) et saisissez la commande suivante : 

    Chglogon.exe /Enable 

    4. Le message suivant apparaît.

    5. Reconnectez-vous sur votre serveur et tenez moi informé du résultat..

    En ce qui concerne le problème d'émission de CAL RDS, pouvez-vous m'indiquer comment configurez-vous votre service de licence RDS au niveau du déploiement ?

    Si le gestionnaire affiche Zero CAL émise, c'est que le serveur/service de Licence RDS présente un problème de communication (due à une mauvaise configuration des services RDS) entre service de Licence et Serveur Hôte de Session (serveur de publication).

    C'est assez simple à corriger. indiquez moi les informations demandées, et on va essayer de résoudre ce problème ensemble :).

    A+

    #HK


    Hicham KADIRI | Just Another IT Guy
    Livre de référence RDS 2012 R2 désormais disponible !
    RDS 2012 R2 reference book is now available !
    Découvrez tous mes eBooks )


    samedi 10 mars 2018 05:52
  • Merci pour votre retour a tous les deux.

    Loïc :

    -Nettoyer pour toi, cela veut dire je désactiver le RDLS (licencing server) sur le serveur 2008r2 ?

    -Quand tu dit que l'activation nécessite 5 tentatives (mini) cela veut dire que même si mon serveur 2012r2 avec les licences migrées (voir ci dessous) en vert ne suffit pas ?

    (J'ai exactement la même chose sur mon RDLS sur le serveur en 2008r2)

    Hicham :

    Comme j'ai expliqué au dessus HICHAM mes utilisateurs ne sont plus bloqués depuis que j'ai 

    1- ré-activer bureau a distance

    2-placer le serveur 2012r2 avec rôle RDLS dans le groupe "serveur de licence des services Terminal Server"

    2-Fait un redémarrage.

    Mais en effet cela ma fait pensé au mode maintenance TEODORA m'avait envoyé en lien avec la commande et ton cour video chez ALPHORM en parlait.

    Cependant j’avais dans mes log le message ci dessous.

    Erreur 4105 ,TerminalServices-Licensing

    " Le serveur de licences des services Bureau à distance ne peut pas mettre à jour les attributs de licence pour l’utilisateur « xxxx» dans le domaine Active Directory « xxxxxxxxxxx». Assurez-vous que le compte d’ordinateur pour le serveur de licences est membre du groupe Serveurs de licences Terminal Server dans le domaine Active Directory « xxxxxxxxxx ».

    J'ai trouvé cette manip qui consiste à ajouter le groupe "serveur de licence des services Terminal Server" à la racine de la console DSA. Puis de lui donnée les droits lire et écrire sur les objets utilisateurs du domaine.

    https://social.technet.microsoft.com/Forums/fr-FR/06a9d4cb-5141-4911-a83f-5e86b1526117/erreur-4105-terminalserviceslicensing?forum=windowsserver2008fr

    Par contre je n'ai toujours pas trouvé pour l'emission des licences. Je m'en remet donc a toi voila les captures d'ecrans que tu m'a demandé

    Sur la capture ci dessous le nom du serveur est bien celui qui detient le role RDLS (lui même en l'occurence).

    J'oubliai HICHAM merci pour l'envoi de ma facture en PDF, j'ai tout reçu.


    Un MCSE un peu perdu...







    samedi 10 mars 2018 21:39
  • Puis de lui donnée les droits lire et écrire sur les objets utilisateurs du domaine.

    J'espère que tu n'as pas fait ca, mais que tu as bien donné les permissions "Read Terminal Server License Servers" et "Write Terminal Server License Servers" :)

    Dans le cas contraire tu as été beaucoup trop permissif et tu exposes ton annuaire à une prise de contrôle rapide (en gros, avec le compte système d'un serveur membre du groupe, je peux modifier n'importe-quel objet de ton annuaire... De là à passer Admins du domaine, y'a qu'un pas).

    Sinon, pour le nettoyage, tu l'as fait vu tes commentaires :)


    dimanche 11 mars 2018 11:00
  • Oui en effet j'ai donné les permissions "Read Terminal Server License Servers" et "Write Terminal Server License Servers" :)

    Merci pour tes conseils.


    Un MCSE un peu perdu...

    dimanche 11 mars 2018 11:41
  • Bonjour Sanio74,

    Pour qu'un serveur de Licence RDS fonctionne correctement, les trois actions post-déploiement suivantes doivent être configurées : 

    1. Activer le serveur de Licence RDS (click-droit depuis le noeud parent de la console Gestionnaire de Licence > Activer le serveur > suivre l'assistant pour une activation via Internet ou by Phone).

    2. Ajouter le compte Ordinateur du serveur de Licence dans le groupe de sécurité AD " Terminal Server License Servers group "

    Note : les serveurs dont les objets Ordinateurs AD sont membres du groupe "Terminal Server Licence Servers' disposent automatiquement de tous les droits nécessaires (Lecture/Ecriture) sur tous les objets AD "Users".

    3. (de préférence) Forcer l'utilisation du serveur de Licence RDS ainsi que le mode de Licence via GPO

    Pour info, vos end users RDS ne sont pas bloqués car vous avez sélectionné le mode "Per-User". Il s'agit d'une faille interne au rôle RDS qui continue à autoriser les connexions BàD, sans même avoir besoin d'installer de Licence.

    Maintenant, si vous avez configuré les trois options ci-dessous, le serveur de Publication (Hôte de Session), va pouvoir demander au serveur de Licence la valeur d'attribut de user AD (utilisateur distant) pour savoir s'il dispose déjà une Licence RDS ou doit lui en attribuer une.

    Si le problème persiste, c'est qu'il s'agirait d'un problème lié à l'écriture sur objets AD et non pas aux services de rôles RDS (RDSH/RDLS).

    Je vous inviterai dans ce cas à me contacter directement par mail, je vous aiderai à résoudre votre incident.

    On publiera la solution ici pour partager l'info avec les autres membres de la communauté

    A bientôt

    #HK


    Hicham KADIRI | Just Another IT Guy
    Livre de référence RDS 2012 R2 désormais disponible !
    RDS 2012 R2 reference book is now available !
    Découvrez tous mes eBooks )


    lundi 12 mars 2018 22:36