Remote Desktop Session Broker [W2K8R2] - Systèmes & Réseaux Pro
Marsh Posté le 02-02-2010 à 12:25:47
Ce sujet a été déplacé de la catégorie OS Alternatifs vers la categorie Systèmes & Réseaux Pro par O'Gure
Marsh Posté le 02-02-2010 à 15:00:58
Tu dois faire du NLA et la redirection il aime pas ça, il peut pas faire son authent kerberos ou par certificat donc tu as le message d'erreur je suppose.
Après le PB des OS en Français c'est que pour chercher avec un message d'erreur, bah tu trouves pas gd chose encore moins qd tu as pas l'id et la source (si erreur dans eventlog).
Marsh Posté le 02-02-2010 à 15:12:02
Je@nb a écrit : Tu dois faire du NLA et la redirection il aime pas ça, il peut pas faire son authent kerberos ou par certificat donc tu as le message d'erreur je suppose. |
Merci de ta réponse
Je préfère préciser que je suis stagiaire, je découvre à chaque instant de nouvelles choses mais il me reste encore beaucoup de vocabulaire à assimiler
J'ai pas bien compris :
Citation : Tu dois faire du NLA et la redirection il aime pas ça |
Et effectivement je n'ai rien dans le eventlog Et seuls mes serveurs sont en Anglais, mais c'est le client qui génère l'erreur ... en Français
Marsh Posté le 02-02-2010 à 15:17:41
NLA = Network level auth, ton serveur RDP présente carte blanche et annonce qui il est. Le client le vérifie, par rapport à l'url entré et si le serveur a présenté une preuve de son identité (soit par Kerberos, soit via un certificat).
Qd tu pointes vers farm.... et que ton client est redirigé il suspecte qu'il y a une attaque (Mitm) et t'avertis.
Sous 2008 R2 on peut demander au brocker d'avoir un compte pour Kerberos et qu'il pousse sur les RDSH, je sais pas si ça peut t'aider, ça fait lgt que j'ai pas fait de load balancing.
Sinon faut virer le NLA pour tester (mais tu perds en sécu)
Marsh Posté le 02-02-2010 à 15:31:08
Je@nb a écrit : NLA = Network level auth, ton serveur RDP présente carte blanche et annonce qui il est. Le client le vérifie, par rapport à l'url entré et si le serveur a présenté une preuve de son identité (soit par Kerberos, soit via un certificat). |
Ça résume totalement la situation. Normal qu'un poste n'appartenant pas au domaine se prenne pas tempête à la connexion ?
Et maintenant me reste à trouver comment avoir un compte pour le broker
Ca m'aide déjà beaucoup, merci
Marsh Posté le 02-02-2010 à 16:53:29
Bah le poste non connecté au domaine ne peut pas faire de kerberos.
Après je suis pas sur que se soit ça hein ton problème. Faudrait essayer avec un OS client en anglais pour voir le message d'erreur
Marsh Posté le 02-02-2010 à 17:12:26
J'essaie ça demain, là je suis sur une vilaine doc
Marsh Posté le 03-02-2010 à 09:29:13
Petite question, pour le coup, il faudra que j'installe un serveur de licences par serveur et que je répartisse équitablement mes licences ?
Merci
J'essaie de chopper le message d'erreur en Anglais dans la journée
Marsh Posté le 03-02-2010 à 10:50:55
Non, un serveur de licence et tu mets toutes tes licences dessus et tu dis à tes serveurs d'utiliser ce serveur de licences
Marsh Posté le 03-02-2010 à 10:54:39
D'accord donc c'est tout bête ça, il répartira toutes mes licences de façon équitable alors
Edit : Le pack de langue US s'installe
Marsh Posté le 03-02-2010 à 11:28:56
C'est bon, voila l'erreur
Citation :
by an outdated entry in the DNS cache. Try using the IP address of the computer instead of the name. |
Et une réponse associée avec Google
Citation :
|
Je vais voir en supprimant mes fermes depuis dnsmgmt sur mon DC
Marsh Posté le 03-02-2010 à 11:38:54
Tu as bien configuré pour qu'ils soient membre d'une ferme tes TS ? (dans les propriétés du rdhost ?)
Marsh Posté le 03-02-2010 à 11:42:19
Oui, ça s'est configuré automatiquement grâce à une GPO
Marsh Posté le 03-02-2010 à 16:15:52
Bon, j'ai testé en tappant le nom de ma ferme (farm) au lieu du nom d'un de mes serveurs (TS1) et ... ça passe Sauf qu'il me demande de valider des certificats ...
C'est vraiment curieux
Je garde le sujet ouvert car je vais tester encore 2-3 trucs comme le SSO et le déploiement d'un certificat
Marsh Posté le 05-02-2010 à 10:53:35
Bon, voila tout fonctionne
Maintenant dernier gros point, mes utilisateurs de clients légers ont leur bureau personnel avec Outlook & co d'installé.
Le problème, c'est que sur l'équilibrage de charge, l'utilisateur ne retrouve plus son bureau ni rien ...
J'essaie de voir les profils itinérants mais ça marche pas très bien ...
Une idée ?
Marsh Posté le 05-09-2012 à 11:40:41
Vini a écrit : Bon, voila tout fonctionne |
GPO redirection de dossier
Marsh Posté le 05-09-2012 à 12:16:27
tu as juste 2 ans et demi de retard ...
Marsh Posté le 06-09-2012 à 17:18:06
Ah oui, mon stage de troisième année
Marsh Posté le 02-02-2010 à 12:15:34
Bonjour,
Dans notre entreprise nous disposons de deux serveurs Terminal Server sous Windows Server 2003.
Dans un futur proche, nous espérons passer sur deux serveurs Remote Desktop sous Windows Server 2008 R2 dans le but de profiter de la technologie de l'équilibrage de session (Session Broker)
En suivant le lien http://aidetse.free.fr/?p=295 j'ai configuré mes machines.
Dans mon labo de test en machine virtuelle j'ai donc :
Le réseau se nomme exia.lan et l'IP du contrôleur de domaine est 192.168.100.10
Tous les serveurs fonctionnent sous Windows Server 2008 R2 Enterprise Edition
Tous les tests d'IP fonctionnent, les firewall sont désactivés pour éviter tout problème
Avec le client XP (hors du domaine) l'équilibrage de charge fonctionne parfaitement, on voit que les sessions se répartissent bien d'un serveur à l'autre
En revanche, sur le poste sur Win7 (membre du domaine), la première ouverture de session se passe remarquablement bien, mais dès que j'en ouvre une seconde pour équilibrer la charge, le message suivant apparait :
---------------------------
Connexion Bureau à distance
---------------------------
La connexion ne peut pas être établie car l’ordinateur distant qui a été joint n’est pas celui que vous avez spécifié. Cela peut être dû à une entrée obsolète du cache DNS. Essayez d’utiliser l’adresse IP de l’ordinateur à la place du nom.
---------------------------
OK
---------------------------
Effectivement, en testant avec l'IP directe, la répartition se fait sans problème mais je dois valider des certificats du nom des deux serveurs RD à la main.
Le problème vient peut être de là ? Peut être dois-je distribuer des certificats ? Mais je sais pas vraiment comment faire
Je précise aussi qu'en testant avec un autre poste XP membre du domaine, un message du même genre s'affichait
---------------------------
Connexion Bureau à distance
---------------------------
Impossible de se connecter au serveur Terminal Server
La batterie de serveurs Terminal Server à laquelle vous essayez de vous connecter vous redirige vers le serveur TSE2.exia.lan. Le Bureau à distance ne peut pas vérifier si ce serveur appartient à la même batterie de serveurs. Ceci peut se produire si un serveur du réseau porte le même nom que la batterie de serveurs.
Contactez votre administrateur réseau ou le propriétaire de la batterie de serveurs pour obtenir de l’aide.
---------------------------
OK
---------------------------
Dans les deux cas, on se rend compte que le poste client sait qu'il est redirigé vers un autre serveur ...
Dans ma fenêtre DNS, j'ai bien mon CD et mes deux serveurs dans la zone de recherche directe, et j'ai même surchargé en associant l'entrée "Farm" avec les IP des serveurs, en résumé
Au niveau de la GPO, j'ai suivi la vidéo du lien en début de post, tout redescend sur mes serveurs RD, j'ai rien à configurer.
J'ai juste un doute sur le filtre de sécurité de ma stratégie de sécurité, elle s'applique au groupe "Utilisateurs Authentifiés" alors que sur la vidéo, il semblerait que l'auteur ai crée un groupe spécial nommé "Serveurs TS" (@ 2:30)
Aussi, vers 6:40 sur la vidéo, on voit les propriétés du Session Broker TS avec une case nommée "Poids relatif du serveur dans la batterie" avec une valeur de 100. De mon côté, je peux éditer la valeur mais ça nécessite de cocher la case de l'IP (La phrase en gras correspond à un concept très flou qui m'oblige à jongler sans cesse entre les deux serveurs RD pour "tester" les différentes options)
C'est long
Mais pour résumer :
Avec un client hors domaine, tout marche, avec un client enregistré dans le domaine, ça marche pas.
Un grand merci à tous les futurs participant
Vini
Message édité par Vini le 02-02-2010 à 12:19:55
---------------
« Quand tu vois la gueule des voitures sur le parking, tu comprends vite qui gagne bien sa vie et qui la sponsorise » ©duck