Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Fragen zur Funktionsweise der Windows Server 2012 R2 Remote Desktop Services

Mitglied: ukulele-7

ukulele-7 (Level 2) - Jetzt verbinden

12.02.2015, aktualisiert 14.04.2015, 2023 Aufrufe, 3 Kommentare

Ich habe eine neue Windows 2012 R2 RDS Umgebung eingerichtet und teste sie grade. Hierbei ergeben sich für mich ein paar Fragen die mich sehr verwirren:

1) Ich ging ursprünglich davon aus das sich die Clients per RDP am Connection Broker anmelden und dieser die Sitzung an einen Session Host seiner Wahl weiter reicht, was mir auch logisch erschien. Jetzt lese ich, das in einer Round-Robin DNS Konfiguration alle DNS Einträge auf den ersten Session-Host verweisen sollen ( http://www.windowspro.de/wolfgang-sommergut/load-balancing-fuer-termina ... ).

a) Ist das nicht unsinnig, wenn der erste Session Host ausfällt? Sebst ein redundanter Connection Broker (auf den ich verzichtet habe) wäre doch dann zwecklos.
b) Wenn ich alle Clients auf den ersten Session Host schicke und die Verbindung dennoch umgeleitet wird, wiso kann ich dann nicht gleich jeden Client auf einen beliebigen Session Host connecten lassen?

2) Wenn mein Connection Broker mich einem anderen Session Host zuweist als dem, zu dem ich ursprünglich meine Vervindung aufgebaut habe, muss ich mich zwei mal mit Benutzername / Passwort anmelden. Sehr, sehr nervig, warum ist das so?

3) Ich habe zwei identisch eingerichtete Session Hosts. Ich habe außerdem Benutzerprofil-Datenträger (User Profile Disks) eingerichtet. Wenn mein User sich an Host 1 anmeldet, eine Datei auf dem Desktop erzeugt und sich abmeldet, kann ich nachvollziehen, das diese Datei in seine UPD gespeichert wird. Meldet sich der User jetzt auf dem anderen RD Session Host an bekommt er nur ein temporäres Profil. Was läuft hier quer?

Ich bin dankbar für Antworten, so ganz durchschaue ich das noch nicht.
Mitglied: ukulele-7
13.02.2015 um 08:49 Uhr
Okay bei Frage 1 habe ich was missverstanden. Im Fall von Round Robin DNS verweist ein DNS Name auf mehrere Session Hosts, nicht umgekehrt. Dieser Artikel erklärt sehr gut dem Ablauf: http://www.virtualizationadmin.com/articles-tutorials/vdi-articles/gene ...

Dennoch bleibt Frage 2). Meine RDS Farm reicht mich an einen anderen Host als an den, zu dem ich mich verbunden habe. Ich muss mich zwei mal authentifizieren.

2a) Kann ich das umgehen? Kann mein Session Host mich nicht auf eine "authentifizierte Weise" redirecten?

2b) Wenn nein, kann ich zumindest dem Load Balancing mitteilen das bis zu einer gewissen Zahl an Connections ich auf dem initialen Session Host verweilen darf? (Bisher werde ich schon mitunter redirected wenn beide Server 0 Sessions haben.)

...und meine Frage 3) wie Eingangs gestellt.
Bitte warten ..
Mitglied: kerobra
LÖSUNG 13.04.2015, aktualisiert 14.04.2015
Habe kürzlich selber derartige Probleme gehabt...

Ich habe letztlich folgende Konfiguration genommen: 1 Server ist nur RD-WA, RD-CB, RD-LIC und 2 Server sind nur RD-SHs. Verbinden tut sich der Client nur auf den ConnectionBroker, von dort erfolgt eine Umleitung zu einem der beiden Sessionhosts. Auf welchen hab ich keinen Einfluss, dazu müsste man die Wertigkeiten bei der Lastverteilung verändern, aber wozu.

Habe mich auch durch diverse Internetanleitungen und Video-Workshops gequält, die Geschichte mit dem Round Robin ist glaube ich von vielen einfach von 2008R2 1:1 auf 2012/R2 übernommen worden, ohne es überhaupt einmal zu testen. MIT RoundRobin hatte ich jedenfalls Zertifikatsprobleme ohne Ende.

Zertifikate sind überhaupt das A und O einer 2012er Umgebung! Mit dem Zertifikat werden u.a. die RDP-Dateien signiert, bei falscher Konfiguration hagelt es bei jeder Verbindung Fehlermeldungen. Falls Du Remote-Apps benutzen willst muss die Zertifikatsgeschichte rundum sauber laufen, da gibt es die Möglichkeit zum "Ignorieren" schlicht nicht. Wenn Du Zugriff von domainfremden Clients benötigst kommst Du um ein "echtes" nicht herum, dann wird auch die Einrichtung der Farm nochmal etwas komplexer. Falls hier Bedarf besteht bitte nochmal melden.

Doch nun zu den Fragen:
1) Was ich zuerst auch falsch verstanden hab ist der Weg, wie MS den Benutzer zu so einer Farm verbunden haben möchte. Und zwar NICHT über den RDP-Client selbst gestartet, sondern erst via RDWeb auf der Farm eingeloggt und dann von dort die dort liegende RDP-Datei gestartet.

Dort wird automatisch eine RDP-Datei generiert, sobald Du eine Sammlung erstellt hast. In dieser RDP-Datei sind u.a. Einstellungen gespeichert, damit die RD-SHs keine Zertifikats-Fehlermeldungen mehr ausposaunen, wenn man umgeleitet wird. Wenn Du manuell vom Win7-RDP Client o.ä. auf den Namen oder die IP startest wird es immer eine Fehlermeldung geben, nur mit o.g. RDP-Datei nicht.

Wichtig zu o.g. Datei: sobald Du RD-Apps veröffentlichst verschwindet diese Datei, also vorher wegsichern! Dazu wenn eine Sammlung existiert zu dieser mit RD-Apps in der Systemsteuerung eines Clients verbinden. ( https://fqdndesrd-cb/RDWeb/Feed ) Ist man angemeldet kann man sich aus dem Clientverzeichnis "C:\Users\<username>\AppData\Roaming\Microsoft\Workspaces\<workspace-id>\Resource" die genannte "Fullsession-RDP" wegsichern, sobald man auch nur eine einzige Anwendung als Remote-App freigegeben hat ist der Link weg!

Wie gesagt, mit Fehlermeldungen kannst Du auch immer direkt über IP/FQDN an einen der RD-SHs rangehen, der fragt bei Verbindung dann seinen konfigurierten RD-CB, wohin er verbunden werden soll und leitet dann ggf. auf RD-SH2 um. Hat aber den Haken, wenn RD-SH1 zufällig mal offline sein sollte wegen Updates o.ä. Daher empfehle ich den "Microsoft-Way" über den RD-CB mit Hilfe der automatisch erstellten RDP-Datei. Auf den RD-CB darfst Du dich allerdings nicht einfach via IP oder FQDN verbinden, denn der sagt dann selbstverständlich, dass Benutzer XY keine Anmelderechte auf dem RD-CB hat. Das bezieht sich dann auf die lokalen RDP-Anmelderechte des CB!

2) Single-Sign On:
GPO "C_SSO_für_Terminalserver_aktivieren”, aktiviert an der Stammdomäne (Muss zumindest den ConnectionBrokernamen, der veröffentlicht wurde enthalten. Die Session-Hosts habe ich sicherheitshalber auch noch hinzugefügt.

Computerkonfiguration/Richtlinien/Administrative Vorlagen/System/Delegierung von Anmeldeinformationen
"Delegierung von Standardanmeldeinformationen zulassen" - Aktiviert
"Server zur Liste hinzufügen:" "TERMSRV/FQDN-RD-CB, TERMSRV/FQDN-RD-SH1, TERMSRV/FQDN-RD-SH2, ..."
"Betriebssystemstandards mit vorheriger Eingabe verknüpfen" - Aktiviert

3) Tipp meinerseits: deaktivier die UPD!
Ich hab mich damit anfangs ewig rumgeärgert, spätestens die Unmöglichkeit, den Administrator vor der UPD-Nutzung auszuklammern hat mich letztlich dazu bewogen gänzlich darauf zu verzichten. Außerdem gab es in meiner Farm Probleme mit temporären Dateien von RD-Apps.
Ich hab deshalb Roaming Profiles eingerichtet.

GPO "C_Terminalserver_RoamingProfiles”, aktiviert an der OU der RD-Sessionhosts

Computerkonfiguration/Richtlinien/Administrative Vorlagen/System/Benutzerprofile
"Sicherheitsgruppe "Administratoren" zu servergespeicherten Profilen hinzufügen" - Aktiviert
Computerkonfiguration/Richtlinien/Administrative Vorlagen/Windows-Komponenten/Remotedesktopdienste/Remotedesktopsitzungs-Host/Profile
"Pfad für servergespeichertes Remotedesktopdienste-Benutzerprofil festlegen" - Aktiviert
"Profilpfad" - "\\Fileserver\RDS-Profiles"
Bitte warten ..
Mitglied: ukulele-7
14.04.2015 um 09:04 Uhr
Hi und erstmal vielen Dank für die umfangreiche Antwort.

Ich bin mitlerweile auch weiter in meinem Projekt und hier mal meine Erfahrung:

RDWeb habe ich mir schon angeschaut und die RD Config Datei verschwindet tatsächlich mit der Bereitstellung einer Remote App, sie kommt aber auch wieder wenn man die Bereitstellung aufhebt. Ich habe mir die Datei angeschaut und sie versucht sich auf den RD-CB zu verbinden, was mit gültigen DNS jetzt auch klappt. Wenn mich nicht alles täuscht ist das der funktionierende Failover den ich gesucht habe und ich kann diese Datei auch anderweitig zur Verbindung bereit stellen.

Verbinde ich mich über eine "gewöhnliche" RDP Config auf den RD-CB versucht er mich tatsächlich lokal anzumelden, das scheint mir auch sinnvoll. Verbinde ich mich auf einen RD-SH, egal welchen, werde ich auf einen Server nach Wahl des RD-CB verbunden, das läuft gut. Das Problem der doppelten Anmeldung tritt nach einer erneuten Bereitstellung nicht mehr auf, mein Punkt 2 hat sich erledigt und ich kann nicht sagen woran das im ersten Anlauf gescheitert ist. Das ist natürlich nur in einem Punkt wirklich hinderlich, nämlich wenn der RD-SH, den ich nutze um den ersten Kontakt aufzubauen, offline ist. Ich hätte in diesem Fall also Load-Balancing aber kein Failover der RD-SHs.

Eigentlich setze ich auch RDWeb und Zertifikate nicht ein, ich arbeite noch mit klassischem VPN zur Absicherung. Auch stelle ich keine einzelnen Apps bereit sondern immer einen kompletten Desktop. Die Zertifikate habe ich selbst erstellt und auf meinen RD-CB ausgestellt, wie auf diversen Seiten empfohlen. Wie mit beiden oben beschriebenen Methoden kann ich mich problemlos aus meiner aktiven Domäne in meine neue Domäne verbinden. Hier mal die (wie ich vermute) nötige GPO dafür:

Windows-Komponenten/Remotedesktopdienste/Remotedesktopsitzungs-Host/Sicherheit
Richtlinie Einstellung Ausschlaggebendes Gruppenrichtlinienobjekt
Benutzerauthentifizierung mit Authentifizierung auf Netzwerkebene ist für Remoteverbindungen erforderlich Deaktiviert

Die UPDs habe ich mitlerweile ebenfalls mit roaming Profiles in Kombination mit redirected Folders ersetzt. Hier habe ich auch die Empfehlung gegen UPD bekommen. Ich muss aber festhalten: Mit beiden Konfigurationen hatte ich Anfangs Ärger und nach einer Weile liefen sowohl UPDs als auch roaming Profiles unter Testbedingungen einwandfrei, hier sollte man eventuell nicht zu schnell zu verschiedenen Servern connecten.
Bitte warten ..
Ähnliche Inhalte
Windows Server

Windows Server 2012 R2 Remote Desktop Services

gelöst Frage von gnatkopfWindows Server11 Kommentare

Hallo, ich bin gerade dabei die RDS unter 2012R2 bei uns aufzusetzen, leider ohne irgendwelches wissen, nur anhand von ...

Windows Server

Remote Desktop - Remote APP Services unter Windows Server 2012 R2

Frage von speedy26gonzalesWindows Server6 Kommentare

Hallo zusammen, ich hoffe Ihr könnt mir hier weiter helfen. Bisher setzen wir Server 2008 R2 mit Remote Desktop ...

Windows Server

Remote Desktop Services 2012 R2 - einige komische Probleme

Frage von MikeDeltaWindows Server3 Kommentare

Moin! Wir haben bei uns eine RDS Umgebung auf Basis von Windows Server 2012 R2 im Einsatz und arbeiten ...

Windows Server

GPOs für Remote Desktop Service Windows Server 2012 R2

Frage von obliteratorWindows Server21 Kommentare

Guten Morgen zusammen, wir möchten in unserem Unternehmen von Windows Server 2008 R2 (Terminalserver) auf Windows Server 2012 R2 ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 2 TagenWindows 105 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 2 TagenAdministrator.de Feedback18 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 2 TagenHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 3 TagenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Router & Routing
Router auf Orginal Firmware zurück flashen mit Tftpd
Frage von ILeonardRouter & Routing21 Kommentare

Hallo, Ich habe zwei Router, einmal TP-Link 841n v11 und TP-Link 940N v5. Ich wollte fragen, ob jemand mir ...

Router & Routing
WRT keine Verbindung zum Web Interface
gelöst Frage von ILeonardRouter & Routing18 Kommentare

Hallo, Ich habe einen TP-Link WR841n mit wrt geflasht, das Problem ist ich kann mich mit 192.168.1.1 nicht verbinden. ...

TK-Netze & Geräte
Telefonie zweier Fritzboxen mit je eigenem DSL Anschluss verbinden
Frage von hannsgmaulwurfTK-Netze & Geräte10 Kommentare

Hallo zusammen, ich habe hier einen Haushalt mit zwei Anschlüssen. Einmal ISDN, einmal DSL. An jedem Anschluss hängt eine ...

Windows Server
Standortvernetzung zu einem Strato VServer (Windows)
Frage von matzefratze81Windows Server10 Kommentare

Moin, ich komme aus einem Enterprise-Umfeld und habe den Fehler gemacht, dass ich mich auf ein kleines Unternehmen eingelassen ...