none
TS セッションブローカ利用時、シングル・サインオンは可能? RRS feed

  • 質問

  • ターミナルサービスで、TS セッションブローカを利用してサーバファーム(サーバ2台)を設定しました。
    DNSに各サーバのIPアドレスをファーム名で登録し、ラウンドロビンを構成しました。

    シングル・サインオンできるようにグループポリシーも設定しましたが、
    TS RemoteApp および リモートデスクトップよりファームに接続しようとすると
    「Windows セキュリティ」のメッセージで
    「お使いの資格情報は機能しませんでした
    リモート コンピュータの ID を完全に確認できないので、リモート コンピュータ(ファーム名)への
    ログオンの既定の(または保存された)資格情報の使用はシステム管理者により許可されていません。
    資格情報を入力してください。」
    と表示され、毎回パスワードの入力を要求されます。
    「資格情報を記憶する」をチェックしても同様です。

    何か設定が必要なのでしょうか?
    そもそも、TSセッションプローカ利用時は、シングル・サインオンは不可なのでしょうか?

    2009年6月2日 9:11

回答

  • Hioki さん、こんにちは。フォーラムオペレーターの鈴木裕子です(^O^)/

    該当するのでは?という情報が、Terminal Services Team のブログにありましたので、紹介させていただきますね。

    Problems using default credentials with Vista RDP clients with Single Sign-on Enabled
    http://blogs.msdn.com/ts/archive/2008/04/30/problems-using-default-credentials-with-vista-rdp-clients-with-single-sign-on-enabled.aspx

    表示されているウィンドウのメッセージを読みまして、ご投稿の現象に該当するのではないか?と思いました。
    記事内には、環境別に現象発生の理由と回避策が紹介されているのですが、Hioki さんの環境は「Scenario 2: Connecting to a terminal server farm 」に該当するかなと思います。
    ざっと読みますと、現象発生の理由は、やはり、サーバーファーム名がADにないため、Kerberos認証ができない、ということのようです。
    推奨方法として書かれているのは、サーバーファーム名のSSL証明書を使用する方法ですが、SSL証明書が使用できない場合は、「Kerberosよりセキュアでない方法になるが、ユーザーの「default credentials」でNTLMを許可する」・・・といったことが書かれていますね。
    一度テスト環境で試してみていただくと良いかもしれません。

    英語だけなのでわかりづらいかもしれませんが、日本語の情報がちょっと見つからなくて・・・ごめんなさい。
    こちらからキーワードを見つけていただいて、更に調べていただいても良いかもしれないです。

    ご参考となれば幸いです!


    マイクロソフト株式会社 フォーラムオペレーター 鈴木裕子
    • 回答としてマーク Hioki 2009年6月16日 1:36
    2009年6月12日 4:49
    モデレータ

すべての返信

  • Hiokiです。追記です。

    通常クライアントは Vista ですが、
    別の Windows 2008 Server からリモートデスクトップで、
    ファーム名ではなく、実サーバ名(ファームのメンバ)で接続してみたところ、
    Windows にログオンしているアカウント情報で自動的にログオンできることを確認しました。
    (ただし、DNSラウンドロビンとセッションブローカの負荷分散の結果そのサーバを使用することに決定した場合)

    とういうことで、実サーバ名ではなくファーム名でアクセスしているために
    「ID を完全に確認できない」状態になっているのではないかと疑われるのですが、
    ここからどのように調査したら良いものか見当がつきません。

    「普通にできてるよ」という方がいらっしゃったら、教えていただけませんでしょうか?
    それだけでも、調査のし甲斐がありますので...
    2009年6月4日 5:55
  • Hioki さん、こんにちは。フォーラムオペレーターの鈴木裕子です(^O^)/

    該当するのでは?という情報が、Terminal Services Team のブログにありましたので、紹介させていただきますね。

    Problems using default credentials with Vista RDP clients with Single Sign-on Enabled
    http://blogs.msdn.com/ts/archive/2008/04/30/problems-using-default-credentials-with-vista-rdp-clients-with-single-sign-on-enabled.aspx

    表示されているウィンドウのメッセージを読みまして、ご投稿の現象に該当するのではないか?と思いました。
    記事内には、環境別に現象発生の理由と回避策が紹介されているのですが、Hioki さんの環境は「Scenario 2: Connecting to a terminal server farm 」に該当するかなと思います。
    ざっと読みますと、現象発生の理由は、やはり、サーバーファーム名がADにないため、Kerberos認証ができない、ということのようです。
    推奨方法として書かれているのは、サーバーファーム名のSSL証明書を使用する方法ですが、SSL証明書が使用できない場合は、「Kerberosよりセキュアでない方法になるが、ユーザーの「default credentials」でNTLMを許可する」・・・といったことが書かれていますね。
    一度テスト環境で試してみていただくと良いかもしれません。

    英語だけなのでわかりづらいかもしれませんが、日本語の情報がちょっと見つからなくて・・・ごめんなさい。
    こちらからキーワードを見つけていただいて、更に調べていただいても良いかもしれないです。

    ご参考となれば幸いです!


    マイクロソフト株式会社 フォーラムオペレーター 鈴木裕子
    • 回答としてマーク Hioki 2009年6月16日 1:36
    2009年6月12日 4:49
    モデレータ
  • Hiokiです。

    鈴木裕子さん、情報ありがとうございます。

    ビンゴ!です。シングル・サインオンできるようになりました。

    SSL証明書は使用できないため、Alternative workaround の方法をとりました。
    セキュリティについては私自身勉強不足のため、どのように影響するのがよくわかっておりませんが、
    今回は使い勝手重視で、いきなり本番環境に適用してしまいました。

    ただ、サーバファームに対する保存された資格情報を保持した状態のユーザでは
    相変わらず同様のメッセージが表示されました。
    その場合は「リモート デスクトップ接続」を開いて、資格情報を削除することで解消されました。

    大変助かりました。ありがとうございました。
    セキュリティについても、もっと勉強したいと思います。

    2009年6月16日 1:35