none
Теневое подключение к сеансу фермы RDS RRS feed

  • Общие обсуждения

  • Как известно, в 2012 R2 вернули возможность подключаться к сеансам пользователей.

    Но также известно, что микрасофт поменял модель работы терминальных служб. Если раньше можно было из терминальной сессии перехватывать другую терминальную сессию, то сейчас наоборот. Есть возможность перехвата сессии RDS только из консольной сессии. Если не так, то поправьте.

    Так вот, есть RDS ферма 2012 R2. Состоит из сервера подключений, где стоит шлюз, посредник и 4 терминальных сервера, которые собственно и несут в себе сессии. Есть возможность перехватывать сеансы пользователей со своей рабочей машины, запустив диспетчер серверов. Рабочий компьютер в этом случае на windows 8.1 и его RSAT для 2012 R2.

    Задача такая, что нужно обеспечить возможность нашей группе программистов перехватывать сеансы пользователей. Программисты, как можно было догадаться, используют windows 7. На Windows 7 нет диспетчера серверов такого как в 8.1. То есть подключаться к пользователям со своей рабочей станции они не могут. Раньше, когда RDS был на основе 2008, сессии перехватывались из терминальной сессии сервера. Программист заходил под административной учетной записью на терминальный сервер и перехватывал нужную сессию из списка. Но как это сделать сейчас? Из терминальной сессии уже нельзя перехватить чужой сеанс, только с локального компьютера. Но с локального компьютера в windows 7 нет возможности использовать диспетчер серверов 2012-ой версии. Если поставить диспетчер служб удаленных рабочих столов, тот что использовался для подключения к 2008-ой ферме, то несмотря на то, что сеанс технически может быть перехвачен, пункт "удаленное управление" нельзя нажать. При этом можно подключиться через mstsc /shadow.

    В итоге, как можно все-таки организовать перехват сеансов для наших программистов? Неужели остается только через mstsc? Это заметно усложняет процесс.


    MCITP: Server Administrator
    MCTS: Desktop Virtualization
    MCTS: Windows 7, Configuration
    Сетевое администрирование Huawei Enterprise


    25 апреля 2014 г. 11:36

Все ответы

  • Все замечательно перехватывается из любой админской RDP сессии через Server Manager.
    25 апреля 2014 г. 12:40
  • Все замечательно перехватывается из любой админской RDP сессии через Server Manager.
    Если я подключаюсь по rdp к 2012 r2 и пытаюсь с помощью server manager перехватить чей-то сеанс, то окно, в котором должно это оборажаться октрывается на секунду и сразу закрывается, без ошибок. При этом если я пытаюсь выполнить команду mstsc /v:host /shadow:5 /control /noConsentPrompt, то появляется ошибка Отказано в доступе. Естественно, я подключаюсь с помощью учестной записи с соответсвующими правами.
    Однако если я выполняю ту же команду, но со своей рабочей машины, то сессия перехватывается. Также она перехватится и в windows 7, но только с помощью команды. А нужно с помощью графического интерфейса.
    Что характерно, если я пытаюсь перехватить сессию из rdp соединения 2008-го сервера в той же ферме 2012, то также окно на мгновение появляется и сразу пропадает.
    В остатке получается что ни при каких обстоятельствах я не могу из RDP сессии перехватить сессию фермы 2012 r2. Только из консольной сессии. И я до конца не понял, должно все же так работать или нет?

    MCITP: Server Administrator
    MCTS: Desktop Virtualization
    MCTS: Windows 7, Configuration
    Сетевое администрирование Huawei Enterprise


    25 апреля 2014 г. 13:54
  • Может так поступить?

    Настроить политику, выбрав необходимые параметры подключения к сессии.

    Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Connections - Set rules for remote control of Remote Desktop Services user sessions

    Вашим программистам дать в помощью команду, чтобы они находили нужных пользователей и их id сессий.

    query user /server:TerminalServer

    27 апреля 2014 г. 19:54
    Отвечающий
  • Может так поступить?

    Настроить политику, выбрав необходимые параметры подключения к сессии.

    Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Connections - Set rules for remote control of Remote Desktop Services user sessions

    Вашим программистам дать в помощью команду, чтобы они находили нужных пользователей и их id сессий.

    query user /server:TerminalServer

    Ну я тоже думал в сторону скриптов. Но это все же неудобно, так как используется 4 терминальных сервера. Я думал использовать командлеты:

    Enter-PSSession BrokerServer
    Get-RDUserSession

    Но в этом случае при выполнении get-rdusersession выдается сообщение "На BrokerServer не развернуты службы удаленных рабочих столов". Соответственно, если эту команду выполнять локально на сервере посреднике, то выдается список всех сессий.


    MCITP: Server Administrator
    MCTS: Desktop Virtualization
    MCTS: Windows 7, Configuration
    Сетевое администрирование Huawei Enterprise

    27 апреля 2014 г. 21:17
  • Enter-PSSession BrokerServer
    Get-RDUserSession

    Но в этом случае при выполнении get-rdusersession выдается сообщение "На BrokerServer не развернуты службы удаленных рабочих столов". Соответственно, если эту команду выполнять локально на сервере посреднике, то выдается список всех сессий.

    C Enter-PSSession BrokerServer и Get-RDUserSession решаемо, см http://blogs.technet.com/b/askds/archive/2012/08/02/windows-powershell-remoting-and-delegating-user-credentials.aspx

    28 апреля 2014 г. 6:32
    Отвечающий
  • Странно, у меня настроено так:
    компьютерные настройки
    правила задают подключение без согласия. 
    И никаких проблем с подключением к сессиям не возникало пока

    28 апреля 2014 г. 8:15
  • Странно, у меня настроено так:
    компьютерные настройки
    правила задают подключение без согласия. 
    И никаких проблем с подключением к сессиям не возникало пока


    То есть вы подключаетесь к 2012 r2 по rdp и перехватываете rdp-шный сеанс фермы?

    MCITP: Server Administrator
    MCTS: Desktop Virtualization
    MCTS: Windows 7, Configuration
    Сетевое администрирование Huawei Enterprise

    28 апреля 2014 г. 9:17
  • Enter-PSSession BrokerServer
    Get-RDUserSession

    Но в этом случае при выполнении get-rdusersession выдается сообщение "На BrokerServer не развернуты службы удаленных рабочих столов". Соответственно, если эту команду выполнять локально на сервере посреднике, то выдается список всех сессий.

    C Enter-PSSession BrokerServer и Get-RDUserSession решаемо, см http://blogs.technet.com/b/askds/archive/2012/08/02/windows-powershell-remoting-and-delegating-user-credentials.aspx

    Да, этот способ вроде работает. В принципе, работоспособно.

    MCITP: Server Administrator
    MCTS: Desktop Virtualization
    MCTS: Windows 7, Configuration
    Сетевое администрирование Huawei Enterprise

    28 апреля 2014 г. 13:33
  • Да, именно так.
    29 апреля 2014 г. 11:02
  • Аналогично. Все работает.
    Правда пришлось добавлять коллекцию сессий, не уверена, что это правильно. Но оно полностью работает.

    Вот тут нашла +- описание как это настроить.
    http://winitpro.ru/index.php/2014/02/12/rds-shadow-v-windows-2012-r2/

    • Изменено Zuyza 16 января 2015 г. 9:54
    16 января 2015 г. 9:53
  • Столкнулся с аналогичной ситуацией. Как подключаться к сеансам разобрался, вопрос в том как дать права на подключение к сеансам пользователям которые не администраторы на серверах коллекции. Раньше в конфигурации сервера узла удаленных рабочих столов в свойствах подключения явно указывались права, то в 2012 сервере такого не нашел. Подскажите если ли в 2012 сервере возможность указать явно кому можно подключаться к сеансам пользователя?
    4 марта 2015 г. 11:33
  • Аналогичная проблема 

    http://social.technet.microsoft.com/wiki/ru-ru/contents/articles/24676.windows-server-2012-r2.aspx?CommentPosted=true#commentmessage

    но тоже не получается, кто сталкивался подскажите...

  • Странно, у меня настроено так:
    компьютерные настройки
    правила задают подключение без согласия. 
    И никаких проблем с подключением к сессиям не возникало пока

    Всем добрый день. У меня так же имеется Server 2012R2 и 2008R2, из MMC консоли с оснасткой Remote Services Manager с сервера 2008 с имеющимися правами администратора и включенными политиками представленными выше при подключении пишет Access is denied. Тоесть перехватить сессию пользователя не получается. Если же под этой же учетной записью зайти на сам 2012 через Шадоу из сервер менеджера никаких проблем при подключении не наблюдается. В чем еще могу быть нюансы?
    16 марта 2016 г. 14:04
  • Добрый день господа! Бьюсь над тем что бы НЕ-администратору дать права для shadowing именно из Server Manager , а не из удаленного помощника , или mstsc /shadow:ID .Потому как у нас одни тонкие клиенты и они подключаются на терминальную ферму состоящую из трех серверов и одного посредника ->все на WS 2012 R2. Есть просто спецы , которые обслуживают допики и офисы и им надо подключаться к сессии пользователей на ферме для решения разных проблем..Естественно что кроме Server manager в такой конфигурации не обойтись (msra.exe даже незнаю как к сессии его подключать-если он запрашивает айпишник и имя ПК, а из CLI неудобно , да и не узнаешь все ID на всей ферме, а только на одном сераере).

    Необходимо что бы не админ вошел на ферму и там смог бы собрать коллекцию и увидел всех пользователей фермы. Как вариант есть возможность попробовать дать доступ к каталогу WMI root/CIM2 через консоль  wmimgmt.msc , но это уже MS не приветствует...

    Поэтому вопрос пока что открыт..


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

  • Добрый день господа! Бьюсь над тем что бы НЕ-администратору дать права для shadowing именно из Server Manager , а не из удаленного помощника , или mstsc /shadow:ID .Потому как у нас одни тонкие клиенты и они подключаются на терминальную ферму состоящую из трех серверов и одного посредника ->все на WS 2012 R2. Есть просто спецы , которые обслуживают допики и офисы и им надо подключаться к сессии пользователей на ферме для решения разных проблем..Естественно что кроме Server manager в такой конфигурации не обойтись (msra.exe даже незнаю как к сессии его подключать-если он запрашивает айпишник и имя ПК, а из CLI неудобно , да и не узнаешь все ID на всей ферме, а только на одном сераере).

    Необходимо что бы не админ вошел на ферму и там смог бы собрать коллекцию и увидел всех пользователей фермы. Как вариант есть возможность попробовать дать доступ к каталогу WMI root/CIM2 через консоль  wmimgmt.msc , но это уже MS не приветствует...

    Поэтому вопрос пока что открыт..


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    Добрый день Удалось как то решить вопрос подключения к сеансам? Нужно именно то, что вы указали
    18 ноября 2016 г. 11:28
  • Да, конечно! Здесь

    Под себя только подшаманьте и все. 


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!



    • Изменено rеstless 18 ноября 2016 г. 14:19
    18 ноября 2016 г. 14:14

  • Под себя только подшаманьте и все. 


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!



    Отлично! Спасибо, а штатными средствами никак не получилось? Может включить в какую политику безопасности пользователя, чтобы у него появился доступ к коллекции сеансов через rsat...
    24 ноября 2016 г. 12:05

  • Под себя только подшаманьте и все. 


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!



    Отлично! Спасибо, а штатными средствами никак не получилось? Может включить в какую политику безопасности пользователя, чтобы у него появился доступ к коллекции сеансов через rsat...

    Привет. Нет МС официально пишет, что только администраторы имеют права собирать коллекции сеансов.здесь от производителя

    здесь

    Так что смело юзайте скриптец.


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    24 ноября 2016 г. 18:26