none
windows2012的RDS授权问题 RRS feed

  • 问题

  • 1、我们在一个网络内,有大概4台windows,配置了其中一台去激活,购买rds 的license,如下图

    

    2、我们其他几台windows 2012同样版本的服务器在gpedit.msc里面设置了远程桌面许可证服务器为上面这台,并设置了按照“每设备”的方式,然后开启“RD授权诊断程序”,其中有一台客户端截图如下:咨询下这种情况是否是授权成功了?

    

    3、如果客户端的administrator的密码跟许可证服务器的administrator密码不一致,会要求提供windows访问凭据,但提供后,在“RD授权诊断”中显示如下,不懂为啥会这样?

    烦请帮忙解答下1、截图2是否算成功授权。2、截图3的许可证数量为啥是0?


    2019年11月29日 7:08

全部回复

  • 您好:
    1.“咨询下这种情况是否是授权成功了?”“1、截图2是否算成功授权”
    (1)您有多少台w2012的服务器已经安装了远程桌面会话主机角色并且已经使用下面组策略指定RDLS server 和指定RDLS mode?
    RDSH 指定RDLS server 和指定RDLS mode
    Computer Configuration - Policies - Administrative Templates - Windows Components - Remote Desktop Services - Remote Desktop Session Host - Licensing
    use the specified remote desktoop license servers  enable specify your rdls server
    set the remote desktop licensing mode              enable per device

    (2)您可以找台从未远程连接10.209.14.173远程桌面会话主机的电脑远程连接这台会话主机,然后注销会话,再重新远程桌面连接10.209.14.173,看看远程桌面证书服务器上是否还会消耗rds per device cal ?
    (原因
    当您使用per device模型时,当设备第一次连接到RD会话主机时,将发出临时许可证。设备第二次连接时,只要许可证服务器被激活并且有可用的CAL,许可证服务器就会为每个设备发出一个永久的RDS。
    从您第一张图来看已经使用了1个rds 每设备cal,总共10个RDS cal而当前可用9个。,如果您仅使用上面的策略配置了1台远程桌面会话主机(10.209.14.173),那么说明授权已经成功了。
    2.截图3的许可证数量为啥是0?
    从您的截图来看,远程桌面会话主机服务器和远程桌面证书服务器都在相同的工作组中吗?
    您在远程桌面会话主机服务器上安装了远程桌面连接代理角色吗?
    您是使用administrator超级管理员账号和相同的密码分别安装远程桌面会话主机和远程桌面证书服务器的吗?
    通常我们是设置
    客户端(RDSH会话主机)的administrator的密码跟许可证服务器的 administrator 密码一致,以便RDSH的 RDlicense 诊断能不需要提示输入用户名密码去读取 RDLS服务器中RD license cal数据库的信息。

    Best Regards
    Andy YOU
    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.






    2019年11月29日 9:00
  • 您好:
    您的问题有进展吗?

    Best Regards
    Andy YOU
    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年12月2日 1:54
  • 回答你提出的问题:

    1、我们目前有三四台windows2012,设置了认证服务器跟按设备授权的策略。但实际感觉没生效

    2、目前已经消耗的那个证书是他自己的本机。我们正常登陆都是通过堡垒机登陆,并未看到设备收到了永久的授权证书。

    3、同个工作组,但没有安装远程连接代理服务。

    另外想问下rds证书按照用户跟按照设备的区别是什么。像我们这种需求,是要选择哪种?(目前我们是通过堡垒机登陆windows设备,登陆用户都是administrator或者另一个应用用户,存在同时多个连接打开)


    2019年12月3日 4:14
  • 您好:
    5.我们目前有三四台windows2012,设置了认证服务器跟按设备授权的策略。但实际感觉没生效。
    您的这条策略use the specified remote desktop license servers是设置的远程桌面证书服务器的ip 地址吗?
    下面有个文档您可以参考下
    How to Join a 2012 R2 RDS Session Host running workgroup to a 2012 R2 License Server (also on workgroup)
    http://www.techhelpblog.com/2015/09/22/join-2012-r2-rds-session-host-running-workgroup-2012-r2-license-server-also-workgroup/


    6.像我们这种需求,是要选择哪种?
    您是否能分享一下您当初建跳板机的文档链接呢?需要根据您的情况才能判断。
    7.另外想问下rds证书按照用户跟按照设备的区别是什么?
    (1)通常多台终端设备访问同一台堡垒机(跳板机)然后远程到相应的vm或者物理机。当您买了10个RDS 每设备证书,就只能10个终端设备远程到同一台堡垒机。对于要限定数量并且只能特定的终端设备远程访问同一台堡垒机是较好的选择,因为每rds设备cal最多只能撤销重分配总rds CAL的10%(根据您的RDS数量也就是2个),首次撤销后要等90天才能重新撤销重分配其他8个中的2个RDScal,10个rds每设备的cal分配完了就没法再超额颁发证书给新设备。通常用户数大于终端设备数时也会选择这种rds每设备的cal.
    (2)当您需要多台终端设备要远程到跳板机时(也就是终端设备数大于用户数时),也就是您的终端单个用户需要使用多个设备(手机,ipad,pc 等)去远程登陆堡垒机时就使用RDS 每用户 cal比较好了。RDS 每用户 cal是可以超额颁发的,超额颁发没有数量限制,但是超额颁发的RDS 每用户 cal会被记录到超额颁发池里,长期使用是违法微软终端用户license协议的。另外RDS 每用户 cal只能在AD活动目录中使用。
    使用客户端访问许可证 (CAL) 许可 RDS 部署
    https://docs.microsoft.com/zh-cn/windows-server/remote/remote-desktop-services/rds-client-access-license
    “If you are using a workgroup server, you must use per-device CALs. For more information, see License your RDS deployment with client access licenses (CALs).”
    https://support.microsoft.com/en-ca/help/2833839/guidelines-for-installing-the-remote-desktop-session-host-role-service

    Best Regards
    Andy YOU
    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年12月3日 7:22
  • 您好,你给的这个链接,我看了下相关内容,感觉跟我配置的是一样的,最后的一个截图也是类似的。。就是我们可以看到连到了认证服务器,然后可以看到有多少个CAL证书可用,但就是没有永久分配下来。从cal证书服务器的证书管理那边也看不到有下发使用掉这个证书。

    How to Join a 2012 R2 RDS Session Host running workgroup to a 2012 R2 License Server (also on workgroup)
    http://www.techhelpblog.com/2015/09/22/join-2012-r2-rds-session-host-running-workgroup-2012-r2-license-server-also-workgroup/

    2019年12月4日 6:17
  • 您好:
    8.您有远程桌面会话主机角色和远程桌面授权角色安装在1台上的服务器吗?

    10.209.13.3是远程桌面授权服务器同时也是远程桌面会话主机吗?

    9.客户端远程这台远程桌面会话主机,远程桌面授权管理中也无法颁发永久的cal 吗?
    10.您在远程桌面会话主机服务器上以管理员身份打开命令提示符输入 tlsbln.exe 看看桌面右下角是否会弹出 宽限期的提示?
    11.
    远程桌面会话主机使用RPC TCP 135端口去联系远程桌面授权服务器,您在远程桌面会话主机服务器和远程桌面授权服务器上分别在cmd中输入看看135端口是否都在侦听,防火墙开放了135端口,
    输入netstart -ano |find "135"
    https://support.microsoft.com/en-sg/help/832017/service-overview-and-network-port-requirements-for-windows


    Best Regards
    Andy YOU
    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.




    2019年12月4日 9:12
  • 您好:
    您的问题有进展吗?

    Best Regards
    Andy YOU
    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年12月6日 5:25
  • 您的问题解决了吗?

    Best Regards
    Andy YOU
    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年12月9日 2:27
  • 8、对,10.209.13.3即是授权服务器,同时也是桌面会话主机。

    9、对,通过堡垒机远程到这台桌面会话主机(RDP登录),还是无法颁发永久的cal

    10、输入tlsbln.exe后不会弹出宽限期的提示

    11、

    2019年12月12日 13:26
  • HI
    11.从您的图上看看远程桌面会话主机和远程桌面证书服务器端口已经建立连接了。
    12.打开远程桌面会话主机上的注册表看看license mode是否已经改成如下:
    Remote Desktop Licensing Mode registry config for per device mode on RDSH server
    [HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Terminal Services]"LicensingMode"=dword:00000002       
    [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\RCM\Licensing Core]"LicensingMode"=dword:00000002   
    打开远程桌面会话主机上的注册表看看是否已经填写了远程桌面授权服务器的ip
    Remote Desktop License Server registry for specifing license server on RDSH server
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\TermService\Parameters\LicenseServers]SpecifiedLicenseServers                     
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services]LicenseServers

    13.通常没有RDLicesing server,客户端仍然能远程连接会话主机使用120天的宽限期。
    我们可以尝试在远程会话主机角色服务器上打开注册表编辑器,然后在会话主机上找到下面graceperiod路径,注意要删除此键值,需要你必须首先右击Graceperiod键选择权限,然后取得GracePeriod键本机administrators所有权(即更改ower),并给予本机administrators完全控制权利(full control)。如下图
    最后删除graceperiod下的 L$RTMTI...的二进制值,重启服务器看看问题是否解决。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\RCM\GracePeriod


    14.通过堡垒机远程到这台桌面会话主机(RDP登录)
    通常应该堡垒机会获得1张远程桌面每设备证书。那您用堡垒机远程远程桌面会话主机,远程桌面授权服务器会给它发临时的或永久的rds per device cal吗?
    如果您能提供简单的拓扑图来说明您的堡垒机使用环境,将有助于发现问题。您的win10客户端,堡垒机,会话主机都在相同的局域网络内吗?
    请注意这是论坛请用虚拟地址代替公网地址,对域名部分进行涂改。



    Best Regards
    Andy YOU
    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.



    2019年12月15日 10:34
  • 桌面会话主机(10.209.14.173)中:

    1、[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Terminal Services]"LicensingMode"=dword:00000002  (这个是002跟你发的一样)     
    2、[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\RCM\Licensing Core]"LicensingMode"=dword:00000005 (这个参数跟你说的不一样)

    3、[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\TermService\Parameters

    \LicenseServers]SpecifiedLicenseServers    (没有SpecifiedLicenseServers,有个默认项,但没有值

    4、[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services]LicenseServers(这个是有设置了10.209.13.3的license server地址)

    5、你发的那个删除注册表的,我们试过,是可行的,但注册表删除后,后面还会出现(无法完全破解,总觉得不是正确办法)

    6、简单的拓扑图如下:(服务器地址都是内网地址,没关系的),所有服务器都在一个局域网内,堡垒机可以远程连接所有设备(linux跟windows都可以),windows设备有多台,其中一个10.209.13.3上面安装了license 证书,所有将这台13.3作为license server,其他windows连接到这台做授权。7、我现在的问题是:如果我现在13.3关机了,是否会造成14.173这台设备无法多用户登陆(也就是RDS授权失败),按此前的理解是,我只要连接过一次license server,就可以从13.3获取证书到14.173,后续就跟13.3无关了,但目前看不是这样的。另外14.173跟13.3之间是否只需要开通135端口(目前13.3跟14.173之间的网络是全放开,计划收敛,所以确定下需要开通哪些端口)


    2019年12月16日 2:24
  • 您好:
    “我现在的问题是:如果我现在13.3关机了,是否会造成14.173这台设备无法多用户登陆(也就是RDS授权失败),按此前的理解是,我只要连接过一次license server,就可以从13.3获取证书到14.173,后续就跟13.3无关了,但目前看不是这样的。”
    15.是的。关闭10.209.13.3RDLS服务器会使新设备无法获取rds per device临时证书,已经发布rds per device临时证书的设备仍然可以使用到90天周期结束。请放大里面流程图部分查看per device的部分。
    https://social.technet.microsoft.com/wiki/contents/articles/21180.remote-desktop-licensing-demystified.aspx?Redirected=true


    16.另外14.173跟13.3之间是否只需要开通135端口(目前13.3跟14.173之间的网络是全放开,计划收敛,所以确定下需要开通哪些端口)
    rpc tcp 135端口必须开通和从 49152 - 65535²段所有端口不能禁止,因为rdsh和rdls联系使用的高位端口是随机的。您从您的11个答案恢复的贴图中也不难发现这点。如下图

    https://support.microsoft.com/en-sg/help/832017/service-overview-and-network-port-requirements-for-windows
    RDS 2012: Which ports are used during deployment?
    https://social.technet.microsoft.com/wiki/contents/articles/16164.rds-2012-which-ports-are-used-during-deployment.aspx


    17.“目前已经消耗的那个证书是他自己的本机。我们正常登陆都是通过堡垒机登陆,并未看到设备收到了永久的授权证书。”
    如果有多个用户需要远程登陆堡垒机,堡垒机本身也是会话主机也是需要rds授权服务器授权的,也是需要配置上面提到的本地策略设置rds per device 模式和指定rds license server,堡垒机本身会消耗掉1张rds per device cal。或者您在堡垒机上使用了其他避开使用rds license的三方方案,这种请我不太了解了。

    18.如果会话主机局域网内网段(10.209.14.x 或者10.209.13.x)测试设备(堡垒机 ,服务器)能远程连接10.209.13.3的会话主机分发到永久rds 每设备许可证或者临时许可证给这台测试设备,那说明远程桌面授权服务器的是在正常工作的。

    19."
    你发的那个删除注册表的,我们试过,是可行的,但注册表删除后,后面还会出现(无法完全破解,总觉得不是正确办法)"
    无法完全破解是啥意思,您是指删除注册表后120天宽限期能正常用,过了120天宽限期就无法使用么?
     

    Best Regards
    Andy YOU
    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.




    2019年12月16日 3:45
  • 1、还是在一个问题里面绕,有点不清楚:Per device 的模式的话,授权license是给到了host机器(10.209.14.173)还是给到了堡垒机? 我一直理解的是license是给到了host机器,然后我随便通过什么机器远程host机器都可以实现多用户登录。

    2、每台hosts配置RD授权时候设置的license server地址(13.3)后,这种是否也算是远程到license server而用掉一个license,(目前实际用过程中,没看到配置完license server有消耗license),是否理解成配置完成后,然后license server(10.209.13.3)只是给了host主机(10.209.14.173)一个临时许可证?如何可以给予永久license

    3、按我的理解,如果给予了永久license的话,那查看机器的许可证证书那边就可以看到才对。但目前hosts主机那边没看到

    4、删除注册表后,重启后生效,过120天继续会出问题,除非在删除前更改系统日期。


    2019年12月16日 14:25
  • 您好:
    18."还是在一个问题里面绕,有点不清楚:Per device 的模式的话,授权license是给到了host机器(10.209.14.173)还是给到了堡垒机?"
    per device模式授权license不是给host机器的,是给连接host的客户端机器的。
    例如win10连接RD会话主机,per device模式下,rds per device cal的授权是写入win10客户端的注册表中的。那么堡垒机连接远程桌面会话主机(已经安装了RDsession host 角色),rds per device cal的授权是写入堡垒机的注册表中的。会话主机被颁发了临时的rds per device cal,是因为您在这台会话主机上使用管理员账户远程连接过另1台会话主机,另一台会话主机联系rd licensing server给这台会话主机的。

    “3、按我的理解,如果给予了永久license的话,那查看机器的许可证证书那边就可以看到才对。但目前hosts主机那边没看到”
    如果颁发到永久rds per device cal会写入客户端的注册表。
    Clients store their license under the key:
    [HKEY_LOCAL_MACHINE\Software\Microsoft\MSLicensing]
    The MSLicensing key contains two sub-keys used to store both unique client-specific information and any license certificates obtained from license servers.
    HardwareID
    Store
    https://blogs.technet.microsoft.com/supportingwindows/2015/05/08/multiple-per-device-rds-cals-are-issued-the-same-device-issue/

    19.“license server(10.209.13.3)只是给了host主机(10.209.14.173)一个临时许可证?如何可以给予永久license”
    需要到RDLicensing服务器的license管理器中,右击那个临时许可选择撤销,然后host主机(10.209.14.173)远程连接10.209.13.3的时候会颁发cal个host一个永久的rds per device cal.

    Best Regards
    Andy YOU
    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.




    2019年12月18日 2:36
  • license是分配到堡垒机的,那是否可以理解成

    1、我的license server 那边只要申请一张证书(用于分配给堡垒机)。

    2、其他hosts主机只要配置了“RD授权”中的服务器地址为license server 地址就行了,这样我通过堡垒机都可以登陆,不管我有多少台hosts主机,我都不用再购买证书。

    2019年12月20日 9:34
  • 您好:
    20.“2、其他hosts主机只要配置了“RD授权”中的服务器地址为license server 地址就行了,这样我通过堡垒机都可以登陆,不管我有多少台hosts主机,我都不用再购买证书。”
    不是。per device模式授权license不是给host机器的,是给连接host的客户端机器的。
    从您12/16日贴图上看,我不确定连接堡垒机的客户端系统是什么,因为您没有画出,我假设它们是win10且共有9台。多个win10客户端同时连接堡垒机(跳板机),堡垒机本身通常是要安装远程桌面服务会话主机角色的。这才会有多个用户同时使用堡垒机上相同的远程桌面程序,去远程内部的会话主机。
    RDLS(远程桌面授权服务器),RDSH(远程桌面会话主机)
    那么会有下面的rds per device 分配过程
    client win10(9台)--->堡垒机(本身是RDSH)-->RDLS        堡垒机联系RDLS分配per device cal给每个win10共9个。
    client win10(9台)-->堡垒机(本身是RDSH)-->任一RDSH-->RDLS  任一RDSH联系RDLS分配per device cal给堡垒机,共1个。

    21.现在您需要确保的是RDLS能正常的工作起来。堡垒机能远程到任一RDSH,然后RDLS给堡垒机分发到1个临时或永久的RDS cal.不然您的RDLS没在工作。
    在远程桌面授权服务器
    10.209.13.3
    event viewer\windows logs\
    application
    system
    Event Viewer – Applications and Services Logs – Microsoft-Microsoft-Windows-TerminalServices-Licensing
    的事件日志中看看是否有报错信息。


    Best Regards
    Andy YOU
    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.






    2019年12月23日 7:41