Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

2008 R2 Remotedesktopdienste - XP SingleSignOn - 2 Domänen mit Vertrauensstellung

Frage Microsoft Windows Server

Mitglied: Kangaroojack

Kangaroojack (Level 1) - Jetzt verbinden

09.08.2012, aktualisiert 09:45 Uhr, 3385 Aufrufe, 15 Kommentare

Hallo Leute,

hätte da mal eine Frage ob SingleSignOn in der folgenden Konstellation funktioniert.

2 Domänen mit Vertrauensstellung
2008R2 Server mit Remoteapps in Domäne A
XP Clients in Domäne B

An den XP Clients habe ich die nötigen REG Einstellungen vorgenommen (SingleSignOn innerhalb Domäne A funktioniert).
Nun wäre es ideal, wenn man SSO auch aus Domäne B funktionieren würde.
Aber an den Clients aus Domäne B startet man die RemoteApp und dann wird einem der Desktop des Servers angezeigt an dem man sich anmelden muss. Gibt man seine Daten aus Domäne B ein, startet die Anwendung dann auch.

Kann mir jemand sagen an welcher Schraube ich hier noch drehen kann/muss damit das funktioniert. Oder ist SSO Domänenübergreifend nicht möglich?

Gruß
KangarooJack
Mitglied: DerWoWusste
09.08.2012, aktualisiert um 10:39 Uhr
Moin.

Ich weiß es nicht, aber Folgendes sollte weiter führen:
Google zunächst nach, ob Deine Vermutung "ist SSO Domänenübergreifend nicht möglich" zutrifft: Stichworte: sso + "trusted domain"
Wenn das nicht zutrifft, nimm Dir einen Win7 oder Vista-Client und richte dort das sso ein (nicht über regedit, wie bei xp, sondern über lokale Policies) und setzte als vertraute Terminalserver mal TERMSRV/* ein.
Anleitung siehe http://blogs.msdn.com/b/rds/archive/2007/04/19/how-to-enable-single-sig ...

Geht es von dort aus?
Bitte warten ..
Mitglied: Kangaroojack
09.08.2012 um 11:12 Uhr
Moin.

Ich habe lediglich 2 oder 3 Hinweise gefunden,dass SSO Domänenübergreifend funktionieren soll, aber keine konkrete Umsetzung.

Deinen Vorschlag mit dem Windows 7 Client habe ich eben ausprobiert. Nachdem ich SSO in der lokalen Policy aktiviert habe funktioniert Domänenübergreifendes SSO! Jetzt müsst ich nur noch wissen wie man das für XP konfiguriert!?
Bitte warten ..
Mitglied: DerWoWusste
09.08.2012 um 12:40 Uhr
Du solltest analysieren, wo Win7 TERMSRV/* in der Registry einträgt und das einfach bei xp setzen - ich denke, das wird schon reichen.
Bitte warten ..
Mitglied: Kangaroojack
09.08.2012 um 13:58 Uhr
Also, ich habe nun einfach mal die Einstellungen in der GPO so gesetzt wie für die Windows 7 Maschine - XP SP3 übernimmt diese Einstellungen auch obwohl bei der GPO mindestens Vista steht.

SSO funktioniert nun auch Domänenübergreifend! ABER nur einmal. d.h. ich starte die RemoteApp, beende diese wieder. Nun starte ich erneut und dann wird nach dem Login gefragt- seeeeehr seltsame Sache!
Starte ich den Client neu, kann ich die Anwendung wieder einmal starten inkl. SSO - beim zweiten Start fragt er dann wieder nach den Daten . Nur abmelden reicht nicht, der PC muss neu gestartet werden damit ich die RemoteApp einmalig ohne Anmeldedaten starten kann.

Ne Idee?
Bitte warten ..
Mitglied: DerWoWusste
09.08.2012 um 14:14 Uhr
Erstmal keine Idee. Bei Win7 geht es mehrfach?
Bitte warten ..
Mitglied: Kangaroojack
09.08.2012 um 14:36 Uhr
Ja, unter 7 kann man die Anwendung X-Fach nacheinander mit SSO starten. Bei XP nur einmal dann wird nach den Daten gefragt. Sieht so aus für mich, als würde der XP Client die Daten nicht nochmal übermitteln.
Bitte warten ..
Mitglied: DerWoWusste
09.08.2012 um 14:40 Uhr
Vermutlich ein Bug. Melde das doch mal in einem speziellen Forum, z.B. der Newsgroup für Remote Desktop Dienste von MS.
Bitte warten ..
Mitglied: Kangaroojack
09.08.2012 um 15:36 Uhr
Ok, dann werd ih mein Glück mal dort probieren.

Danke für Deine Unterstützung.
Bitte warten ..
Mitglied: Kangaroojack
23.08.2012 um 14:22 Uhr
So, das SSO habe ich nun hinbekommen.

Es gibt allerdings noch ein Problem.

Starte ich ne RDP Sitzung auf den Server ist die in ca 3 Sekunden da.
Starte ich ne RDP Sitzung in der ich automatisch das Programm starte - legt der Loginvorgang ca 20 Gedenksekunden ein, bevor die Anwendung startet
Probiere ich das mit dem Windows Rechner, oder Wordpad - geht das beides unter 5 Sekunden auf.

Hab schon wieder 3 Tage daran rumprobiert, ich raffe es nicht, warum das so ist.

Jemand eine Idee?
Bitte warten ..
Mitglied: DerWoWusste
23.08.2012 um 14:39 Uhr
Das Warten hatten wir auch und es trat genau dann auf, wenn mehr als nur ein paar User angemeldet waren. Ich sage bewusst "trat" - mittlerweile geht es nämlich, ohne dass wir irgendwo irgendetwas verändert hätten.

Mir schien es damals so, als würde es ein Problem des Lizenzservers sein - als ob der sich ein paar Sekunden sortieren müsste. Warum dies jedoch nur bei RemoteApps auftrat? Keine Ahnung. Warum es sich plötzlich (nach Wochen!) von alleine löste? Noch weniger Ahnung.
Du kannst mal einen Test machen indem Du einen anderen Lizenzierungsserver einrichtest und angibst.
Bitte warten ..
Mitglied: Kangaroojack
23.08.2012 um 18:01 Uhr
Der Lizensserver ist lokal auf diesem Server installiert.

Aber meines Erachtens kann es doch nicht daran liegen, denn wenn ich eine normale RDP Sitzung mit Desktop öffne wird der Lizenzserver doch genau so angefragt. Und das starten von z.b. calc.exe oder notepad.exe geht unter 5 Sekunden. Ich brings echt nicht zusammen an was das noch liegen könnte.
Bitte warten ..
Mitglied: DerWoWusste
23.08.2012 um 18:17 Uhr
Bei uns war es genau so. Normale Sitzung schnell, remoteApp langsam, es sei denn, man ist der einzige Nutzer 8oder nur sehr wenige sind drauf).
Es kann sein, dass es sogar nach der Umstellung des Lizenzservers verschwunden ist, wenn ich es mir recht überlege. Dieser war bei uns zuerst auch auf dem TS selbst.
Bitte warten ..
Mitglied: Kangaroojack
23.08.2012 um 20:29 Uhr
Also an der Useranzahl kann es nicht liegen - da nur ein einziger, der Testbenutzer - verbunden war. Das System ist noch nicht produktiv. Ok, danke für den Tipp. Werde den Lizenzserver morgen woanders installieren, mal schauen ob das was bringt.

Was seltsam ist: einer von 30 Versuchen und die Anwendung startet direkt.

Das einzig auffällige im AnwendungsLog ist der Eintrag:
Quelle: CertificateServicesClient-AutoEnrollment
Ereignis-ID: 6
Bei der automatischen Zertifikatregistrierung für Domäne\Username ist ein Fehler aufgetreten (0x8007000d) Die Daten sind unzulässig.
Bitte warten ..
Mitglied: Kangaroojack
23.08.2012 um 22:32 Uhr
Ich fasse es nicht, ich habs endlich hinbekommen. An dieser Stelle hätte ich nie gesucht:

In den Einstellungen des INTERNET EXPLORERS !!!

Folgedes auf dem TS für jeden User deaktivieren:
IE => Internetoptionen => Ereitert => Auf gesperrte Serverzertifikate überprüfen
kann man per GPO machen unter Benutzer, Richtlinien, Administrative Vorlagen, Windows Komponenten,Internet Explorer, Internetsystemsteuerung, Seite "Erweitert"

dann noch

IE => Internetoptionen => Ereitert => auf gesperrte zertifikate von herausgebern überprüfen
Hierzu gibt es keine GPO! Ich habe es über GPP gelöst, indem ich
HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing
State, Typ REG_DWORD mit dem HEX Wert 0x23E00 setze..

gpupdate /force auf dem Server, anschließend neugestartet.

Die Anwendung startet jetzt in ca 4-7 Sekunden!!!

Man soll dieses Problem mit dem langsamen Anwendungsstart nicht haben, wenn der User auf dem TS in Internet kann, dann kann nämlich das Zertifikat abgefragt werden und man läuft nicht in den Timeout - somit auch keine Wartezeit von ca 20-30 Sekunden!

Ich hoffe das hilft einigen weiter.

Gruß
KangarooJack
Bitte warten ..
Mitglied: DerWoWusste
24.08.2012 um 00:26 Uhr
Sehr cool.

Bei uns können die Anwender zwar vom TS aus ins Internet, aber ich hatte etwa zu der Zeit von der an es schnell ging doch etwas geändert, was die Verbindung ins Netz beeinflusst: die Proxysettings wurden auf wpad umgestellt. Nicht auszuschließen, dass damit der Zugriff auf Sperrzertifikate o.Ä. wesentlich längert dauert - wir hatten ohne wpad auch mit https-Seiten lange Verzögerungen.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...