Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Windows Server 2012R2 Remote-Apps zeigen auf den Clients falsche Einträge an, Fullsession vs. Remote Apps, SAN-Zertifikate mit AD-CA

Frage Microsoft Windows Server

Mitglied: kerobra

kerobra (Level 1) - Jetzt verbinden

24.02.2015, aktualisiert 25.02.2015, 861 Aufrufe, 8 Kommentare

Hallo erstmal!

Ich habe das Netz schon durchsucht, bin aber bislang irgendwie nie dort angekommen, wo ich hin muss
Ich habe bei einem Kunden eine Win2012R2 TS-Farm installiert, bestehend aus 2 Servern, wovon einer bis auf das RD-Gateway alle Rollen hat und der andere RD-Sitzungshost ist. Bei der Einrichtung gab es das ein oder andere hin und her, wodurch vermutlich der o.g. Fehler entstanden ist. Ich hab aber keine Ahnung, wo ich weiter suchen könnte...

Auf der Farm ist mit dem Assistenten in der letzten Version nun eine Sammlung freigegeben worden, die ich im Nachgang bearbeitet habe und über beide Server verteile. Soweit so gut, die Anwendungen werden auf den Clients, wo ich die Remote-App Verbindung in der Systemsteuerung eingetragen habe auch angezeigt, allerdings sehe ich - obwohl nur einmal freigegeben - den Adobe Reader seltsamerweise doppelt. Einer davon verweist allerdings auf eine ältere Sammlung, die ich während der Testphase einmal angelegt hatte und die es gar nicht mehr gibt - sprich: dieses Icon bringt nur eine Fehlermeldung, sonst nichts.

Dies wäre erst mal das dringendste Problem.



Da wir auf dem Server wegen Zertifikatsproblemen, bzw. zwei voneinander unabhängigen Domains nicht mit den Remote-Apps arbeiten können haben wir aktuell die Verbindungen als "klassische Full-Sessions" konfiguriert. (Clients in Domäne A, angebunden via VPN an Domäne B, es soll kein Trust oder manueller Zertifikatsimport erfolgen, öffentliches Zertifikat ist noch auf der ToDo...)

Um die Sache Full-Session / Remote Apps besser voneinander zu trennen hatte ich mir jetzt gedacht, ich erstelle eine zweite Gruppe, erlaube die Remoteanmeldung nur für diese Gruppe auf beiden Servern über System/Remote mit einem zweiten Eintrag. Das Ende vom Lied war aber, dass sich ein paar User sehr wohl verbinden konnten, einige jedoch nicht. Bei den Remote-Apps habe ich in Domäne B je Applikation eine eigene AD-Gruppe, diese Gruppen sind alle Mitglied einer Obergruppe "Remote-Apps". Verbinden zum Server dürfen sich alle Remote-Apps Mitglieder, in den App-Gruppen wird dann festgelegt, wer was sehen darf. Klappt mit Remote-App auch soweit bis auf das genannte Adobe Reader Problem.

Frage hierzu wäre, wo ist der Denkfehler bzgl. der Unterscheidung in Remote-App Gruppe und FullSession-Gruppe. Ist das überhaupt möglich? Ich meine bei meinen Recherchen irgendwo gelesen zu haben, dass der RD-Server da nicht unterscheidet und FullSession User auch nur die Anwendungen der Sammlung aufmachen dürften. Getestet habe ich das aber noch nicht...



Für das letzte i-Tüpfelchen müsste ich jetzt noch wissen, wie ich das mit den SAN-Zertifikaten regle. Ich habe mir über die AD-CA ein Zertifikat für den TS1 ausstellen lassen und in seinem IIS eingebunden. Damit die Lastverteilung aber richtig funktioniert muss ich doch wenigstens noch den zweiten Namen mit in das Zertifikat bekommen. Hatte bislang noch nicht all zu viel mit Zertifikaten zu tun und stell mich da irgendwie zu blöd an. Kann man und wenn ja wie in der AD-CA Zertifikate für mehr als einen Servernamen ausstellen? Ich kenns zwar prinzipiell vom Exchange, der erstellt aber seine eigene Zertifikatsanforderung, die ich dann an die CA einreiche und gut war's.

Danke schon mal im Voraus!
Mitglied: Dani
24.02.2015 um 20:42 Uhr
Moin,
wo ich die Remote-App Verbindung in der Systemsteuerung eingetragen habe auch angezeigt, allerdings sehe ich - obwohl nur einmal freigegeben - den Adobe Reader seltsamerweise doppelt.
Was passiert wenn du die Verbindung nochmals löscht und neu einrichtest?


Gruß,
Dani
Bitte warten ..
Mitglied: kerobra
25.02.2015 um 08:31 Uhr
Wenn ich die Verbindung lösche sind logischerweise alle Apps verschwunden, lege ich sie wieder an dann tauchen 10 Anwendungen auf, obwohl in der Sammlung nur 9 enthalten sind
Bitte warten ..
Mitglied: kerobra
25.02.2015, aktualisiert um 08:44 Uhr
Die Sache mit dem Zertifikat habe ich inzwischen glaube ich soweit kapiert. Ich habe im DNS einen Farmnamen eingetragen und dann beide Server auf diesen Namen mit A-Record angelegt. nslookup gibt beide IPs zurück.

Für diesen Farmnamen hab ich dann ein Zertifikat erzeugt und auf beiden Servern in "Eigene Zertifikate" importiert sowie über die Powershell aktiviert.
>>gci cert:\LocalMachine\My | select FriendlyName, Thumbprint
>>wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="<Fingerabdruck>"

Das hat mich zumindest mal soweit gebracht, dass ich die Farm-Adresse für SSO aktiviert habe und das soweit auch mit RDP-Client funktioniert inkl. Lastverteilung und ohne irgendwelche Zertifikatwarnungen oder -fehler.


Zwei Punkte wären an der Stelle aber noch offen:
1) wenn ich die Verbindung zu den Remote-Apps einrichten will fragt er trotzdem noch nach Anmeldedaten
Ich mein klar, unter SSO versteht MS ja nur die Delegierung von Anmeldeinformationen für bestimmte TERMSRV/-Verbindungen. Bekomme ich das für Web, darüber läuft ja die Remote-App-Verbindung vielleicht auch noch irgendwie hin? Integrierte Windows-Auth. ist aktiviert.
2) Obwohl das Farmzertifikat bei allen 3 Punkten in der Farm (RDWeb, Broker-SSO, Broker-Veröffentlichung) hinterlegt ist bekomme ich bei der Verbindung über Remote-Apps beim Starten einer App eine "Herausgeber kann nicht identifiziert werden"-Meldung. Dort steht als Adresse komischerweise die vom Broker, nicht von der Farm, über die die Verbindung auch angelegt ist.
Bitte warten ..
Mitglied: Dani
25.02.2015 um 09:53 Uhr
Ich würde sagen, da hängt noch ein App in der Sammlung. Da wird dir nichts anderes übrig bleiben, als die Sammlung komplett zu löschen und neu anzulegen.
Bitte warten ..
Mitglied: kerobra
25.02.2015 um 10:55 Uhr
Ohje, keine gute Idee :D

Ich hab die Sammlung gelöscht, musste dann noch die Gruppenrichtlinien deaktivieren weil er da irgendeinen Parameter gesetzt hat den der Assistent für die Sammlung nicht mochte oder dadurch auf den beiden RD-Sitzungshosts nicht mehr ändern konnte.

Ohne eine Sammlung wurde angezeigt ein Adobe Reader und ein RDP-Desktop...

Neue Sammlung erstellt, wieder 10 Apps am Client und das schlimmste: der Adobe Reader spricht nur noch englisch, obwohl die deutsche Version installiert ist und schon immer war. Auch auf Full-Session nur noch in Englisch...
Bitte warten ..
Mitglied: kerobra
25.02.2015 um 11:23 Uhr
Es war der Protected Mode im Adobe Reader, keine Ahnung, warum das auf einmal aus heiterem Himmel und nach 1 Woche Live-Betrieb erst passiert, aber das Deaktivieren hat ihm wieder deutsch beigebracht...
Bitte warten ..
Mitglied: Dani
LÖSUNG 25.02.2015, aktualisiert um 13:51 Uhr
Ich hab die Sammlung gelöscht, musste dann noch die Gruppenrichtlinien deaktivieren weil er da irgendeinen Parameter gesetzt hat den der Assistent für die Sammlung nicht mochte oder dadurch auf den beiden RD-Sitzungshosts nicht mehr ändern konnte.
Irgendwo hat sich eine Sammlung verhakt. Ich hatten Fall letztes Jahr unter 2008R2. Aber krieg die Lösung nicht mehr zusammen.
Durchsuch mal die Registry nach dem Namen der "toten" Applikation...


Gruß,
Dani
Bitte warten ..
Mitglied: kerobra
25.02.2015 um 13:50 Uhr
Tausend Dank für den Schubs in die richtige Richtung!

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\CentralPublishedResources\PublishedFarms

Da waren auf dem Broker zwei Farmen eingetragen, in der einen nur ein Adobe Reader, in der anderen die anderen Programme. Gelöscht und schon findet der Client nur noch die 9 gewünschten Remote-Apps!
Bitte warten ..
Ähnliche Inhalte
Windows Server
Win2012 RDS Zertifikate für Remote Apps
Frage von kerobraWindows Server1 Kommentar

Hallo zusammen, jetzt wo meine neue RDS-Farm endlich rund läuft soll ich sie noch per Internet erreichbar machen, weil ...

Windows Server
Nutzungsstatistik von Remote Desktop Services Apps
Frage von HellvisWindows Server2 Kommentare

Servus Kollegen, Wir haben eine Produktionsstätte zugekauft und die dortige relativ brachliegende Active Directory übernommen. Es ist auch eine ...

Windows Server
Funktioniert Dragn Drop von Dateien zwischen zwei Remote Apps?
gelöst Frage von germaneseWindows Server3 Kommentare

Hallo zusammen, habe jetzt schon etwas gesucht aber finde keine eindeutige Antwort, hoffe hier kennt sich jemand sehr gut ...

Windows Server
Remote Desktop Server liefert falsches Zertifikat aus
gelöst Frage von ChrisNbgWindows Server7 Kommentare

Hallo, ich hab ein kleines Problem mit unserem Remote Desktop Server. Es handelt sich um einen Server 2012 R2 ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 19 StundenWindows 102 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 20 StundenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 1 TagInternet3 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 1 TagDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte16 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...

Windows Server
GPO nur für bestimmte Computer
Frage von Leo-leWindows Server13 Kommentare

Hallo Forum, gern würde ich ein Robocopy script per Bat an eine GPO hängen. Wichtig wäre aber dort der ...

Windows Server
KMS Facts for Client configuration
Frage von winlinWindows Server13 Kommentare

Hey Leute, wir haben in unserem Netz nun einen neuen KMS Server. Haben Bestands-VMs die noch nicht aktiviert sind. ...

Windows Tools
Software-Tool zum Entfernen von bösartigem Windows
Frage von emeriksWindows Tools11 Kommentare

Hi, siehe Betreff hat das jemals irgendjemand schonmal sinnvoll eingesetzt? (MRT) E.