Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Windows Server 2012R2 Remote-Apps zeigen auf den Clients falsche Einträge an, Fullsession vs. Remote Apps, SAN-Zertifikate mit AD-CA

Frage Microsoft Windows Server

Mitglied: kerobra

kerobra (Level 1) - Jetzt verbinden

24.02.2015, aktualisiert 25.02.2015, 791 Aufrufe, 8 Kommentare

Hallo erstmal!

Ich habe das Netz schon durchsucht, bin aber bislang irgendwie nie dort angekommen, wo ich hin muss
Ich habe bei einem Kunden eine Win2012R2 TS-Farm installiert, bestehend aus 2 Servern, wovon einer bis auf das RD-Gateway alle Rollen hat und der andere RD-Sitzungshost ist. Bei der Einrichtung gab es das ein oder andere hin und her, wodurch vermutlich der o.g. Fehler entstanden ist. Ich hab aber keine Ahnung, wo ich weiter suchen könnte...

Auf der Farm ist mit dem Assistenten in der letzten Version nun eine Sammlung freigegeben worden, die ich im Nachgang bearbeitet habe und über beide Server verteile. Soweit so gut, die Anwendungen werden auf den Clients, wo ich die Remote-App Verbindung in der Systemsteuerung eingetragen habe auch angezeigt, allerdings sehe ich - obwohl nur einmal freigegeben - den Adobe Reader seltsamerweise doppelt. Einer davon verweist allerdings auf eine ältere Sammlung, die ich während der Testphase einmal angelegt hatte und die es gar nicht mehr gibt - sprich: dieses Icon bringt nur eine Fehlermeldung, sonst nichts.

Dies wäre erst mal das dringendste Problem.



Da wir auf dem Server wegen Zertifikatsproblemen, bzw. zwei voneinander unabhängigen Domains nicht mit den Remote-Apps arbeiten können haben wir aktuell die Verbindungen als "klassische Full-Sessions" konfiguriert. (Clients in Domäne A, angebunden via VPN an Domäne B, es soll kein Trust oder manueller Zertifikatsimport erfolgen, öffentliches Zertifikat ist noch auf der ToDo...)

Um die Sache Full-Session / Remote Apps besser voneinander zu trennen hatte ich mir jetzt gedacht, ich erstelle eine zweite Gruppe, erlaube die Remoteanmeldung nur für diese Gruppe auf beiden Servern über System/Remote mit einem zweiten Eintrag. Das Ende vom Lied war aber, dass sich ein paar User sehr wohl verbinden konnten, einige jedoch nicht. Bei den Remote-Apps habe ich in Domäne B je Applikation eine eigene AD-Gruppe, diese Gruppen sind alle Mitglied einer Obergruppe "Remote-Apps". Verbinden zum Server dürfen sich alle Remote-Apps Mitglieder, in den App-Gruppen wird dann festgelegt, wer was sehen darf. Klappt mit Remote-App auch soweit bis auf das genannte Adobe Reader Problem.

Frage hierzu wäre, wo ist der Denkfehler bzgl. der Unterscheidung in Remote-App Gruppe und FullSession-Gruppe. Ist das überhaupt möglich? Ich meine bei meinen Recherchen irgendwo gelesen zu haben, dass der RD-Server da nicht unterscheidet und FullSession User auch nur die Anwendungen der Sammlung aufmachen dürften. Getestet habe ich das aber noch nicht...



Für das letzte i-Tüpfelchen müsste ich jetzt noch wissen, wie ich das mit den SAN-Zertifikaten regle. Ich habe mir über die AD-CA ein Zertifikat für den TS1 ausstellen lassen und in seinem IIS eingebunden. Damit die Lastverteilung aber richtig funktioniert muss ich doch wenigstens noch den zweiten Namen mit in das Zertifikat bekommen. Hatte bislang noch nicht all zu viel mit Zertifikaten zu tun und stell mich da irgendwie zu blöd an. Kann man und wenn ja wie in der AD-CA Zertifikate für mehr als einen Servernamen ausstellen? Ich kenns zwar prinzipiell vom Exchange, der erstellt aber seine eigene Zertifikatsanforderung, die ich dann an die CA einreiche und gut war's.

Danke schon mal im Voraus!
Mitglied: Dani
24.02.2015 um 20:42 Uhr
Moin,
wo ich die Remote-App Verbindung in der Systemsteuerung eingetragen habe auch angezeigt, allerdings sehe ich - obwohl nur einmal freigegeben - den Adobe Reader seltsamerweise doppelt.
Was passiert wenn du die Verbindung nochmals löscht und neu einrichtest?


Gruß,
Dani
Bitte warten ..
Mitglied: kerobra
25.02.2015 um 08:31 Uhr
Wenn ich die Verbindung lösche sind logischerweise alle Apps verschwunden, lege ich sie wieder an dann tauchen 10 Anwendungen auf, obwohl in der Sammlung nur 9 enthalten sind
Bitte warten ..
Mitglied: kerobra
25.02.2015, aktualisiert um 08:44 Uhr
Die Sache mit dem Zertifikat habe ich inzwischen glaube ich soweit kapiert. Ich habe im DNS einen Farmnamen eingetragen und dann beide Server auf diesen Namen mit A-Record angelegt. nslookup gibt beide IPs zurück.

Für diesen Farmnamen hab ich dann ein Zertifikat erzeugt und auf beiden Servern in "Eigene Zertifikate" importiert sowie über die Powershell aktiviert.
>>gci cert:\LocalMachine\My | select FriendlyName, Thumbprint
>>wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="<Fingerabdruck>"

Das hat mich zumindest mal soweit gebracht, dass ich die Farm-Adresse für SSO aktiviert habe und das soweit auch mit RDP-Client funktioniert inkl. Lastverteilung und ohne irgendwelche Zertifikatwarnungen oder -fehler.


Zwei Punkte wären an der Stelle aber noch offen:
1) wenn ich die Verbindung zu den Remote-Apps einrichten will fragt er trotzdem noch nach Anmeldedaten
Ich mein klar, unter SSO versteht MS ja nur die Delegierung von Anmeldeinformationen für bestimmte TERMSRV/-Verbindungen. Bekomme ich das für Web, darüber läuft ja die Remote-App-Verbindung vielleicht auch noch irgendwie hin? Integrierte Windows-Auth. ist aktiviert.
2) Obwohl das Farmzertifikat bei allen 3 Punkten in der Farm (RDWeb, Broker-SSO, Broker-Veröffentlichung) hinterlegt ist bekomme ich bei der Verbindung über Remote-Apps beim Starten einer App eine "Herausgeber kann nicht identifiziert werden"-Meldung. Dort steht als Adresse komischerweise die vom Broker, nicht von der Farm, über die die Verbindung auch angelegt ist.
Bitte warten ..
Mitglied: Dani
25.02.2015 um 09:53 Uhr
Ich würde sagen, da hängt noch ein App in der Sammlung. Da wird dir nichts anderes übrig bleiben, als die Sammlung komplett zu löschen und neu anzulegen.
Bitte warten ..
Mitglied: kerobra
25.02.2015 um 10:55 Uhr
Ohje, keine gute Idee :D

Ich hab die Sammlung gelöscht, musste dann noch die Gruppenrichtlinien deaktivieren weil er da irgendeinen Parameter gesetzt hat den der Assistent für die Sammlung nicht mochte oder dadurch auf den beiden RD-Sitzungshosts nicht mehr ändern konnte.

Ohne eine Sammlung wurde angezeigt ein Adobe Reader und ein RDP-Desktop...

Neue Sammlung erstellt, wieder 10 Apps am Client und das schlimmste: der Adobe Reader spricht nur noch englisch, obwohl die deutsche Version installiert ist und schon immer war. Auch auf Full-Session nur noch in Englisch...
Bitte warten ..
Mitglied: kerobra
25.02.2015 um 11:23 Uhr
Es war der Protected Mode im Adobe Reader, keine Ahnung, warum das auf einmal aus heiterem Himmel und nach 1 Woche Live-Betrieb erst passiert, aber das Deaktivieren hat ihm wieder deutsch beigebracht...
Bitte warten ..
Mitglied: Dani
LÖSUNG 25.02.2015, aktualisiert um 13:51 Uhr
Ich hab die Sammlung gelöscht, musste dann noch die Gruppenrichtlinien deaktivieren weil er da irgendeinen Parameter gesetzt hat den der Assistent für die Sammlung nicht mochte oder dadurch auf den beiden RD-Sitzungshosts nicht mehr ändern konnte.
Irgendwo hat sich eine Sammlung verhakt. Ich hatten Fall letztes Jahr unter 2008R2. Aber krieg die Lösung nicht mehr zusammen.
Durchsuch mal die Registry nach dem Namen der "toten" Applikation...


Gruß,
Dani
Bitte warten ..
Mitglied: kerobra
25.02.2015 um 13:50 Uhr
Tausend Dank für den Schubs in die richtige Richtung!

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\CentralPublishedResources\PublishedFarms

Da waren auf dem Broker zwei Farmen eingetragen, in der einen nur ein Adobe Reader, in der anderen die anderen Programme. Gelöscht und schon findet der Client nur noch die 9 gewünschten Remote-Apps!
Bitte warten ..
Neuester Wissensbeitrag
Exchange Server

WSUS bietet CU22 für Exchange 2007 SP3 nicht an. EOL Exchange 2007

Tipp von DerWoWusste zum Thema Exchange Server ...

Ähnliche Inhalte
Windows Server
gelöst Windows Server 2012R2 mit 2 Nics - Clients bekommen keine Internet Verbindung (15)

Frage von GoForIt zum Thema Windows Server ...

Windows Server
Sql server 2014 installation auf einer windows server 2012r2 vm (5)

Frage von meister00 zum Thema Windows Server ...

Windows Server
gelöst Zusätzlichen Windows Server 2012R2 Domänencontroller hinzufügen (5)

Frage von Mar-west zum Thema Windows Server ...

Heiß diskutierte Inhalte
Exchange Server
Test-ActiveSyncConnectivity Error nach neuem Zertifikat (17)

Frage von Driphex zum Thema Exchange Server ...

Batch & Shell
gelöst Batch xls nach aktuellem Datum auslesen und email senden (14)

Frage von michi-ffm zum Thema Batch & Shell ...

Backup
Datensicherung ARCHIV (12)

Frage von fautec56 zum Thema Backup ...