[W2K8R2]Remote Desktop Session Broker

Remote Desktop Session Broker [W2K8R2] - Systèmes & Réseaux Pro

Marsh Posté le 02-02-2010 à 12:15:34    

Bonjour,

 

Dans notre entreprise nous disposons de deux serveurs Terminal Server sous Windows Server 2003.

 

Dans un futur proche, nous espérons passer sur deux serveurs Remote Desktop sous Windows Server 2008 R2 dans le but de profiter de la technologie de l'équilibrage de session (Session Broker)  [:xauhaus]

 

En suivant le lien http://aidetse.free.fr/?p=295 j'ai configuré mes machines.

 

Dans mon labo de test en machine virtuelle j'ai donc :

 
  • Un controleur de domaine nommé DC avec le rôle AD, DNS et Remote Desktop Connection Broker
  • Un RD server nommé TS1 avec le rôle Remote Desktp Session Host
  • Un RD server nommé TS2 avec le rôle Remote Desktp Session Host
  • Un client Windows 7 membre du domaine
  • Un client XP en Workgroup


Le réseau se nomme exia.lan et l'IP du contrôleur de domaine est 192.168.100.10

 

Tous les serveurs fonctionnent sous Windows Server 2008 R2 Enterprise Edition

 

Tous les tests d'IP fonctionnent, les firewall sont désactivés pour éviter tout problème ;)

 

Avec le client XP (hors du domaine) l'équilibrage de charge fonctionne parfaitement, on voit que les sessions se répartissent bien d'un serveur à l'autre  [:zcoold]

 

En revanche, sur le poste sur Win7 (membre du domaine), la première ouverture de session se passe remarquablement bien, mais dès que j'en ouvre une seconde pour équilibrer la charge, le message suivant apparait :

 
Citation :


---------------------------
Connexion Bureau à distance
---------------------------
La connexion ne peut pas être établie car l’ordinateur distant qui a été joint n’est pas celui que vous avez spécifié. Cela peut être dû à une entrée obsolète du cache DNS. Essayez d’utiliser l’adresse IP de l’ordinateur à la place du nom.
---------------------------
OK  
---------------------------

 

Effectivement, en testant avec l'IP directe, la répartition se fait sans problème mais je dois valider des certificats du nom des deux serveurs RD à la main.

 

Le problème vient peut être de là ? Peut être dois-je distribuer des certificats ? Mais je sais pas vraiment comment faire :/

 

Je précise aussi qu'en testant avec un autre poste XP membre du domaine, un message du même genre s'affichait

 
Citation :


---------------------------
Connexion Bureau à distance
---------------------------
Impossible de se connecter au serveur Terminal Server

 

La batterie de serveurs Terminal Server à laquelle vous essayez de vous connecter vous redirige vers le serveur TSE2.exia.lan. Le Bureau à distance ne peut pas vérifier si ce serveur appartient à la même batterie de serveurs. Ceci peut se produire si un serveur du réseau porte le même nom que la batterie de serveurs.

 

Contactez votre administrateur réseau ou le propriétaire de la batterie de serveurs pour obtenir de l’aide.
---------------------------
OK  
---------------------------

 

Dans les deux cas, on se rend compte que le poste client sait qu'il est redirigé vers un autre serveur ... [:manust]

 

Dans ma fenêtre DNS, j'ai bien mon CD et mes deux serveurs dans la zone de recherche directe, et j'ai même surchargé en associant l'entrée "Farm" avec les IP des serveurs, en résumé

 
  • DC : 192.168.100.10
  • TS1 : 192.168.100.11
  • TS2 : 192.168.100.12
  • FARM : 192.168.100.11
  • FARM : 192.168.100.12


Au niveau de la GPO, j'ai suivi la vidéo du lien en début de post, tout redescend sur mes serveurs RD, j'ai rien à configurer.

 

J'ai juste un doute sur le filtre de sécurité de ma stratégie de sécurité, elle s'applique au groupe "Utilisateurs Authentifiés" alors que sur la vidéo, il semblerait que l'auteur ai crée un groupe spécial nommé "Serveurs TS" (@ 2:30)

 

Aussi, vers 6:40 sur la vidéo, on voit les propriétés du Session Broker TS avec une case nommée "Poids relatif du serveur dans la batterie" avec une valeur de 100. De mon côté, je peux éditer la valeur mais ça nécessite de cocher la case de l'IP (La phrase en gras correspond à un concept très flou qui m'oblige à jongler sans cesse entre les deux serveurs RD pour "tester" les différentes options)

 

C'est long :d

 

Mais pour résumer :

 

Avec un client hors domaine, tout marche, avec un client enregistré dans le domaine, ça marche pas.

 

Un grand merci à tous les futurs participant :jap:

 

Vini :)


Message édité par Vini le 02-02-2010 à 12:19:55

---------------
« Quand tu vois la gueule des voitures sur le parking, tu comprends vite qui gagne bien sa vie et qui la sponsorise » ©duck
Reply

Marsh Posté le 02-02-2010 à 12:15:34   

Reply

Marsh Posté le 02-02-2010 à 12:25:47    

Ce sujet a été déplacé de la catégorie OS Alternatifs vers la categorie Systèmes & Réseaux Pro par O'Gure


---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 02-02-2010 à 15:00:58    

Tu dois faire du NLA et la redirection il aime pas ça, il peut pas faire son authent kerberos ou par certificat donc tu as le message d'erreur je suppose.
 
Après le PB des OS en Français c'est que pour chercher avec un message d'erreur, bah tu trouves pas gd chose :/ encore moins qd tu as pas l'id et la source :/ (si erreur dans eventlog).

Reply

Marsh Posté le 02-02-2010 à 15:12:02    

Je@nb a écrit :

Tu dois faire du NLA et la redirection il aime pas ça, il peut pas faire son authent kerberos ou par certificat donc tu as le message d'erreur je suppose.
 
Après le PB des OS en Français c'est que pour chercher avec un message d'erreur, bah tu trouves pas gd chose :/ encore moins qd tu as pas l'id et la source :/ (si erreur dans eventlog).


 
Merci de ta réponse ;)
 
Je préfère préciser que je suis stagiaire, je découvre à chaque instant de nouvelles choses mais il me reste encore beaucoup de vocabulaire à assimiler ;)
 
J'ai pas bien compris :

Citation :

Tu dois faire du NLA et la redirection il aime pas ça


 
Et effectivement je n'ai rien dans le eventlog :/ Et seuls mes serveurs sont en Anglais, mais c'est le client qui génère l'erreur ... en Français :d


---------------
« Quand tu vois la gueule des voitures sur le parking, tu comprends vite qui gagne bien sa vie et qui la sponsorise » ©duck
Reply

Marsh Posté le 02-02-2010 à 15:17:41    

NLA = Network level auth, ton serveur RDP présente carte blanche et annonce qui il est. Le client le vérifie, par rapport à l'url entré et si le serveur a présenté une preuve de son identité (soit par Kerberos, soit via un certificat).
 
Qd tu pointes vers farm.... et que ton client est redirigé il suspecte qu'il y a une attaque (Mitm) et t'avertis.
 
Sous 2008 R2 on peut demander au brocker d'avoir un compte pour Kerberos et qu'il pousse sur les RDSH, je sais pas si ça peut t'aider, ça fait lgt que j'ai pas fait de load balancing.
 
Sinon faut virer le NLA pour tester :D (mais tu perds en sécu)

Reply

Marsh Posté le 02-02-2010 à 15:31:08    

Je@nb a écrit :

NLA = Network level auth, ton serveur RDP présente carte blanche et annonce qui il est. Le client le vérifie, par rapport à l'url entré et si le serveur a présenté une preuve de son identité (soit par Kerberos, soit via un certificat).
 
Qd tu pointes vers farm.... et que ton client est redirigé il suspecte qu'il y a une attaque (Mitm) et t'avertis.
 
Sous 2008 R2 on peut demander au brocker d'avoir un compte pour Kerberos et qu'il pousse sur les RDSH, je sais pas si ça peut t'aider, ça fait lgt que j'ai pas fait de load balancing.
 
Sinon faut virer le NLA pour tester :D (mais tu perds en sécu)


 
Ça résume totalement la situation. Normal qu'un poste n'appartenant pas au domaine se prenne pas tempête à la connexion ? :??:
 
Et maintenant me reste à trouver comment avoir un compte pour le broker ;)
 
Ca m'aide déjà beaucoup, merci :jap:


---------------
« Quand tu vois la gueule des voitures sur le parking, tu comprends vite qui gagne bien sa vie et qui la sponsorise » ©duck
Reply

Marsh Posté le 02-02-2010 à 16:53:29    

Bah le poste non connecté au domaine ne peut pas faire de kerberos.
 
Après je suis pas sur que se soit ça hein ton problème. Faudrait essayer avec un OS client en anglais pour voir le message d'erreur :D

Reply

Marsh Posté le 02-02-2010 à 17:12:26    

J'essaie ça demain, là je suis sur une vilaine doc ;)


---------------
« Quand tu vois la gueule des voitures sur le parking, tu comprends vite qui gagne bien sa vie et qui la sponsorise » ©duck
Reply

Marsh Posté le 03-02-2010 à 09:29:13    

Petite question, pour le coup, il faudra que j'installe un serveur de licences par serveur et que je répartisse équitablement mes licences ?
 
Merci ;)
 
J'essaie de chopper le message d'erreur en Anglais dans la journée ;)


---------------
« Quand tu vois la gueule des voitures sur le parking, tu comprends vite qui gagne bien sa vie et qui la sponsorise » ©duck
Reply

Marsh Posté le 03-02-2010 à 10:50:55    

Non, un serveur de licence et tu mets toutes tes licences dessus et tu dis à tes serveurs d'utiliser ce serveur de licences

Reply

Marsh Posté le 03-02-2010 à 10:50:55   

Reply

Marsh Posté le 03-02-2010 à 10:54:39    

D'accord donc c'est tout bête ça, il répartira toutes mes licences de façon équitable alors ;)

 

Edit : Le pack de langue US s'installe ;)


Message édité par Vini le 03-02-2010 à 10:54:54

---------------
« Quand tu vois la gueule des voitures sur le parking, tu comprends vite qui gagne bien sa vie et qui la sponsorise » ©duck
Reply

Marsh Posté le 03-02-2010 à 11:28:56    

C'est bon, voila l'erreur

 
Citation :


---------------------------
Remote Desktop Connection
---------------------------
The connection cannot be completed because the remote computer that was reached is not the one you specified. This could be caused

 

by an outdated entry in the DNS cache. Try using the IP address of the computer instead of the name.
---------------------------
OK  
---------------------------

 

:jap:

 

Et une réponse associée avec Google

 
Citation :


I deleted all the DNS entries related to my farm and inputted them again from scratch and then the whole thing started working again.

 

Je vais voir en supprimant mes fermes depuis dnsmgmt sur mon DC ;)


Message édité par Vini le 03-02-2010 à 11:31:21

---------------
« Quand tu vois la gueule des voitures sur le parking, tu comprends vite qui gagne bien sa vie et qui la sponsorise » ©duck
Reply

Marsh Posté le 03-02-2010 à 11:38:54    

Tu as bien configuré pour qu'ils soient membre d'une ferme tes TS ? (dans les propriétés du rdhost ?)

Reply

Marsh Posté le 03-02-2010 à 11:42:19    

Oui, ça s'est configuré automatiquement grâce à une GPO ;)


---------------
« Quand tu vois la gueule des voitures sur le parking, tu comprends vite qui gagne bien sa vie et qui la sponsorise » ©duck
Reply

Marsh Posté le 03-02-2010 à 16:15:52    

Bon, j'ai testé en tappant le nom de ma ferme (farm) au lieu du nom d'un de mes serveurs (TS1) et ... ça passe :/ Sauf qu'il me demande de valider des certificats ...
 
C'est vraiment curieux :/
 
Je garde le sujet ouvert car je vais tester encore 2-3 trucs comme le SSO et le déploiement d'un certificat


---------------
« Quand tu vois la gueule des voitures sur le parking, tu comprends vite qui gagne bien sa vie et qui la sponsorise » ©duck
Reply

Marsh Posté le 05-02-2010 à 10:53:35    

Bon, voila tout fonctionne :d
 
Maintenant dernier gros point, mes utilisateurs de clients légers ont leur bureau personnel avec Outlook & co d'installé.
 
Le problème, c'est que sur l'équilibrage de charge, l'utilisateur ne retrouve plus son bureau ni rien ...
 
J'essaie de voir les profils itinérants mais ça marche pas très bien ...
 
Une idée ?


---------------
« Quand tu vois la gueule des voitures sur le parking, tu comprends vite qui gagne bien sa vie et qui la sponsorise » ©duck
Reply

Marsh Posté le 05-09-2012 à 11:40:41    

Vini a écrit :

Bon, voila tout fonctionne :d
 
Maintenant dernier gros point, mes utilisateurs de clients légers ont leur bureau personnel avec Outlook & co d'installé.
 
Le problème, c'est que sur l'équilibrage de charge, l'utilisateur ne retrouve plus son bureau ni rien ...
 
J'essaie de voir les profils itinérants mais ça marche pas très bien ...
 
Une idée ?


 
GPO redirection de dossier  :o


---------------
ACH VDS FEED https://forum.hardware.fr/forum2.ph [...] w=0&nojs=0
Reply

Marsh Posté le 05-09-2012 à 12:16:27    

tu as juste 2 ans et demi de retard ...


Message édité par skoizer le 05-09-2012 à 12:16:37

---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
Reply

Marsh Posté le 06-09-2012 à 17:18:06    

Ah oui, mon stage de troisième année :d


---------------
« Quand tu vois la gueule des voitures sur le parking, tu comprends vite qui gagne bien sa vie et qui la sponsorise » ©duck
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed