Toon posts:

Server 2012: Problemen met RDS Load balancing.

Pagina: 1
Acties:

woensdag 25 maart 2015 16:45

Acties:
  • 0 Henk 'm!

Anoniem: 657349

Topicstarter
In onze private cloud werken klanten op RDS 2012 servers. Voor mensen op kantoor hebben ze rechtstreeks een RDP koppeling naar de RDS server waar ze op werken. Namelijk cloud.domeinnaam.nl:31101 & cloud.domeinnaam.nl:31105

Er hangt een Cisco ASDM firewall tussen, waarin de Access Rules en NAT Rules worden geregeld.Daarin hebben wij de juiste poorten open gezet en kan er gewoon rechtstreeks gewerkt worden. Verder hebben we de servers voorzien van een wildcard certificaat. Namelijk *.domeinnaam.nl. Ook hebben we op elke RDS een FQDN ingesteld. Namelijk cloud.domeinnaam.nl

Maar nu hebben we 2 klanten gefuseerd naar dezelfde RDS collection met een loadbalancing op 2 RDS servers (voor het gemak RDS1 en RDS2). De loadbalancing doet zijn werk in het interne netwerk met bijv de lokale dns naam TS1.domain.local

Allereerst hebben we een probleem met de Remote web workplace. Namelijk als gebruikers willen inloggen krijgen ze de melding:

Er is een verificatiefout opgetreden (Code: 0x607).
Externe computer RDS2.domain.local

Nu zijn we er achter gekomen dat dit met de encryption level te maken heeft. Als deze op "client compatibility" staat, dan kan er geen verbinding gemaakt worden. Zodra we dit aanpassen naar "LOW" werkt het wel.

Dit lijkt te maken te hebben met de authorization policy. Maar we hebben de vinger er nog niet op kunnen leggen. Dit werkte namelijk eerst wel toen de servers nog gescheiden waren.

Daarnaast hebben we nog een 2e probleem. Namelijk als een gebruiker extern wil inloggen via een RDP koppeling.
Als je namelijk extern met RDP verbinding maakt, werkt de loadbalancing niet. In de RDP koppeling wordt er verbinding gemaakt naar de RDS server en de gateway staat ingesteld op cloud.domeinnaam.nl. Als je rechtstreeks verbinding maakt naar de server waarop meer resources vrij zijn is het geen probleem, maar zodra de connection broker je naar de andere RDS server verwijst wordt er voor een 2e keer om referenties gevraagd. Zodra je dat hebt ingevuld krijg je de melding:


"Computer cloud.domeinnaam.nl is niet gevonden. Mogelijk behoort cloud.domeinnaam.nl niet tot het opgegeven netwerk. Controleer de naam en het domein van de computer waarmee u verbinding wilt maken."

Daarnaast hebben we ook geprobeerd de gateway vast in te stellen in de RDP koppeling.

Afbeeldingslocatie: http://static.tweakers.net/ext/f/hhKwynD7Rm8W0AYbIsZ7e5DY/medium.jpg

Dit geeft weer een andere foutmelding. Namelijk eerst wordt er gevraagd om de referenties. Dit vul je dan in en daarna krijgen we weer de melding.

"Computer cloud.domeinnaam.nl is niet gevonden. Mogelijk behoort cloud.domeinnaam.nl niet tot het opgegeven netwerk. Controleer de naam en het domein van de computer waarmee u verbinding wilt maken."

Afbeeldingslocatie: http://static.tweakers.net/ext/f/saA4npfKcKAhnFPI25jv283J/medium.jpg

Mocht er nog meer nodig zijn qua informatie. Hoor ik dat graag.

[ Voor 15% gewijzigd door Anoniem: 657349 op 25-03-2015 16:54 ]

woensdag 25 maart 2015 20:46

Acties:
  • 0 Henk 'm!
  • Killah_Priest
  • Registratie: Augustus 2001
  • Laatst online: 19:52

Killah_Priest

Hoe is je RD deployment precies opgebouwd? En hoe doen jullie de loadbalancing? Met een connection broker?

donderdag 26 maart 2015 10:55

Acties:
  • 0 Henk 'm!

Anoniem: 657349

Topicstarter
DC roles: RD Connection Broker, RD Gateway, RD Licensing, RD Web Access

RDS server roles: RD Session Host

We hebben 2 RDS servers in de Load Balancing staan van de Session Collection, De loadbalancing wordt geregeld door de Connection Broker vanzelfsprekend

Ik weet dat het bad practice is om zoveel rollen op 1 server te laten draaien, maar daar moeten we het mee doen ;)

donderdag 26 maart 2015 21:01

Acties:
  • 0 Henk 'm!
  • Razwer
  • Registratie: December 2000
  • Laatst online: 25-06 09:10

Razwer

1) staan de certificaten wel goed? Gezien jouw setup moet hetzelfde wildcard certificaat op alle services draaien.
Het feit dat je dubbel om credentials wordt gevraagd (SSO werkt niet?) lijkt er op alsof de certificaten niet kloppen.
hier een random googled voorbeeldje hoe je SSO werkend kan krijgen: http://www.greypixel.nl/?p=488
2) begrijp ik nou goed dat je dezelfde servers op 2 verschillende FQDN's probeert te benaderen? De broker heeft zijn eigen SQL database en daar houdt hij maar 1 fqdn bij van de server. Dit zou dan jouw probleem kunnen zijn.

[ Voor 9% gewijzigd door Razwer op 26-03-2015 21:03 ]

Newton's 3rd law of motion. Amateur moraalridder.

dinsdag 31 maart 2015 11:27

Acties:
  • 0 Henk 'm!

Anoniem: 657349

Topicstarter
Razwer schreef op donderdag 26 maart 2015 @ 21:01:
1) staan de certificaten wel goed? Gezien jouw setup moet hetzelfde wildcard certificaat op alle services draaien.
Het feit dat je dubbel om credentials wordt gevraagd (SSO werkt niet?) lijkt er op alsof de certificaten niet kloppen.
hier een random googled voorbeeldje hoe je SSO werkend kan krijgen: http://www.greypixel.nl/?p=488
2) begrijp ik nou goed dat je dezelfde servers op 2 verschillende FQDN's probeert te benaderen? De broker heeft zijn eigen SQL database en daar houdt hij maar 1 fqdn bij van de server. Dit zou dan jouw probleem kunnen zijn.
De certificaten staan goed, het werkte ook goed voor de loadbalancing namelijk.Heb dit nogmaals gecontroleerd.

Je zou wel eens gelijk kunnen hebben over het SSO verhaal. Ik heb nog wat extra informatie gevonden ( http://ryanmangansitblog....012-certificates-and-sso/ ). SSO werkt wel in RdWeb trouwens, maar via RDP alleen niet. Ik ga ermee aan de slag, ik geef je een update als het gelukt is (of niet).

dinsdag 31 maart 2015 11:34

Acties:
  • 0 Henk 'm!
  • Vincent17
  • Registratie: Juni 2001
  • Laatst online: 17:44

Vincent17

Heb je in je DNS een farmnaam gebruikt met round robin?
Deze farmnaam dien je ook op te nemen in je Resource Authorization Policy in de configuratie van je Gateway server.

En deze farmnaam dien je dan ook te gebruiken in je RDP icoon. Het veld waarbij je de computername invult.

[ Voor 24% gewijzigd door Vincent17 op 31-03-2015 11:35 ]

dinsdag 31 maart 2015 11:48

Acties:
  • 0 Henk 'm!
  • Razwer
  • Registratie: December 2000
  • Laatst online: 25-06 09:10

Razwer

Vincent17 schreef op dinsdag 31 maart 2015 @ 11:34:
En deze farmnaam dien je dan ook te gebruiken in je RDP icoon. Het veld waarbij je de computername invult.
Dat zou niet uit hoeven maken. Wanneer je RDP doet naar een willekeurige machine hoort de broker dit op te pakken en je te balancen naar de machine die op dat moment de connectie behoort te krijgen volgens de regels binnen de broker. Farmnaam of FQDN maakt niets uit. RAP moet hoe dan ook de hosts er in hebben. Zolang de hostname maar overeen komt met wat er in je RAP staat, vandaar wat ik aankaart bij punt 2.

Newton's 3rd law of motion. Amateur moraalridder.

woensdag 8 april 2015 13:27

Acties:
  • 0 Henk 'm!

Anoniem: 657349

Topicstarter
Het probleem is probleem inmiddels opgelost. Het lijkt erop dat het kwam omdat de security van session collection op low stond.

Nadat ik de onderstaande custom property heb toegevoegd in powershell kon ik de security weer op client compatibilty zetten zonder issues.

Set-RDSessionCollectionConfiguration –CollectionName "Remote Desktop" -CustomRdpProperty “authentication level:i:0”

SSO werkt ook prima op deze manier.

donderdag 9 april 2015 13:00

Acties:
  • 0 Henk 'm!
  • Razwer
  • Registratie: December 2000
  • Laatst online: 25-06 09:10

Razwer

mjah zo bypass je de security eerder.
Overigens is het volgende commando makkelijker wanneer je meerdere collecties hebt:
Get-RDSessionCollection | Set-RDSessionCollectionConfiguration -CustomRdpProperty "authentication level:i:0"

nog wat zaken waar je op kunt voorbereiden:

screen flickering doet nog wel eens voor op WPF geschreven apps.
Screen/Window flickering issue

Sometimes a client may experience the issue that the remote app window seems to be flickering. This is caused by a bug (on the client) where the window focus is problematic. This is fixed in the following KB: A RemoteApp application main window takes the focus after the applications windows are maximized in Windows

This KB has the following pre-reqs on Windows 7: An update is available that adds support for DTLS in Windows 7 SP1 and Windows Server 2008 R2 SP1 Remote Desktop Protocol (RDP) 8.0 update for Windows 7 and Windows Server 2008 R2
RDS Licensing server doesn’t get detected even though firewall ports are open and GPO is set

Remove the MSLicensing Registry Key on the Client and Verify Permissions on the Rebuilt Key

If all of the previous troubleshooting procedures fail, create a backup of the MSLicensingregistry key and its subkeys on the client, and then remove the original key and subkeys.

To remove the MSLicensing registry key on the client and verify permissions on the rebuilt key

On the client, open Registry Editor. To open Registry Editor, click Start, click Run, type regedit, and then click OK.

Locate, and then click, the following key in the registry:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSLicensing

On the Registry menu, click Export Registry File.

In the File name box, type mslicensingbackup, and then click Save.

If you need to restore this registry key in the future, double-click mslicensingbackup.reg.

On the Edit menu, click Delete, and then click Yes to confirm the deletion of the MSLicensingregistry subkey.

Close Registry Editor, and then restart the computer (when the client is restarted, the missing registry key is rebuilt).

On the client, open Registry Editor.

Locate, and then click, the following key in the registry:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSLicensing

On the Edit menu, click Permissions. Users must have at least Read permissions.

More information: http://technet.microsoft....ry/cc758805(v=ws.10).aspx
Enabling change password feature

On your RDWeb virtual app go to the Pages virtual app and go to Application Settings

Set PasswordChangeEnabled to “true”
As there are compatibility issues with newer browser versions, the following should be added to IIS:

On the root of your IIS server, go to HTTP Response headers

Add the following

Name : X-UA-Compatible Value : IE=9

[ Voor 3% gewijzigd door Razwer op 09-04-2015 13:01 ]

Newton's 3rd law of motion. Amateur moraalridder.

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq