Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1762 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro

  [W2K8R2]Remote Desktop Session Broker

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[W2K8R2]Remote Desktop Session Broker

n°62937
Vini
Vini - Le vrai
Posté le 02-02-2010 à 12:15:34  profilanswer
 

Bonjour,

 

Dans notre entreprise nous disposons de deux serveurs Terminal Server sous Windows Server 2003.

 

Dans un futur proche, nous espérons passer sur deux serveurs Remote Desktop sous Windows Server 2008 R2 dans le but de profiter de la technologie de l'équilibrage de session (Session Broker)  [:xauhaus]

 

En suivant le lien http://aidetse.free.fr/?p=295 j'ai configuré mes machines.

 

Dans mon labo de test en machine virtuelle j'ai donc :

 
  • Un controleur de domaine nommé DC avec le rôle AD, DNS et Remote Desktop Connection Broker
  • Un RD server nommé TS1 avec le rôle Remote Desktp Session Host
  • Un RD server nommé TS2 avec le rôle Remote Desktp Session Host
  • Un client Windows 7 membre du domaine
  • Un client XP en Workgroup


Le réseau se nomme exia.lan et l'IP du contrôleur de domaine est 192.168.100.10

 

Tous les serveurs fonctionnent sous Windows Server 2008 R2 Enterprise Edition

 

Tous les tests d'IP fonctionnent, les firewall sont désactivés pour éviter tout problème ;)

 

Avec le client XP (hors du domaine) l'équilibrage de charge fonctionne parfaitement, on voit que les sessions se répartissent bien d'un serveur à l'autre  [:zcoold]

 

En revanche, sur le poste sur Win7 (membre du domaine), la première ouverture de session se passe remarquablement bien, mais dès que j'en ouvre une seconde pour équilibrer la charge, le message suivant apparait :

 
Citation :


---------------------------
Connexion Bureau à distance
---------------------------
La connexion ne peut pas être établie car l’ordinateur distant qui a été joint n’est pas celui que vous avez spécifié. Cela peut être dû à une entrée obsolète du cache DNS. Essayez d’utiliser l’adresse IP de l’ordinateur à la place du nom.
---------------------------
OK  
---------------------------

 

Effectivement, en testant avec l'IP directe, la répartition se fait sans problème mais je dois valider des certificats du nom des deux serveurs RD à la main.

 

Le problème vient peut être de là ? Peut être dois-je distribuer des certificats ? Mais je sais pas vraiment comment faire :/

 

Je précise aussi qu'en testant avec un autre poste XP membre du domaine, un message du même genre s'affichait

 
Citation :


---------------------------
Connexion Bureau à distance
---------------------------
Impossible de se connecter au serveur Terminal Server

 

La batterie de serveurs Terminal Server à laquelle vous essayez de vous connecter vous redirige vers le serveur TSE2.exia.lan. Le Bureau à distance ne peut pas vérifier si ce serveur appartient à la même batterie de serveurs. Ceci peut se produire si un serveur du réseau porte le même nom que la batterie de serveurs.

 

Contactez votre administrateur réseau ou le propriétaire de la batterie de serveurs pour obtenir de l’aide.
---------------------------
OK  
---------------------------

 

Dans les deux cas, on se rend compte que le poste client sait qu'il est redirigé vers un autre serveur ... [:manust]

 

Dans ma fenêtre DNS, j'ai bien mon CD et mes deux serveurs dans la zone de recherche directe, et j'ai même surchargé en associant l'entrée "Farm" avec les IP des serveurs, en résumé

 
  • DC : 192.168.100.10
  • TS1 : 192.168.100.11
  • TS2 : 192.168.100.12
  • FARM : 192.168.100.11
  • FARM : 192.168.100.12


Au niveau de la GPO, j'ai suivi la vidéo du lien en début de post, tout redescend sur mes serveurs RD, j'ai rien à configurer.

 

J'ai juste un doute sur le filtre de sécurité de ma stratégie de sécurité, elle s'applique au groupe "Utilisateurs Authentifiés" alors que sur la vidéo, il semblerait que l'auteur ai crée un groupe spécial nommé "Serveurs TS" (@ 2:30)

 

Aussi, vers 6:40 sur la vidéo, on voit les propriétés du Session Broker TS avec une case nommée "Poids relatif du serveur dans la batterie" avec une valeur de 100. De mon côté, je peux éditer la valeur mais ça nécessite de cocher la case de l'IP (La phrase en gras correspond à un concept très flou qui m'oblige à jongler sans cesse entre les deux serveurs RD pour "tester" les différentes options)

 

C'est long :d

 

Mais pour résumer :

 

Avec un client hors domaine, tout marche, avec un client enregistré dans le domaine, ça marche pas.

 

Un grand merci à tous les futurs participant :jap:

 

Vini :)


Message édité par Vini le 02-02-2010 à 12:19:55

---------------
« Quand tu vois la gueule des voitures sur le parking, tu comprends vite qui gagne bien sa vie et qui la sponsorise » ©duck
mood
Publicité
Posté le 02-02-2010 à 12:15:34  profilanswer
 

n°62938
o'gure
Multi grognon de B_L
Posté le 02-02-2010 à 12:25:47  profilanswer
 

Ce sujet a été déplacé de la catégorie OS Alternatifs vers la categorie Systèmes & Réseaux Pro par O'Gure


---------------
Relax. Take a deep breath !
n°62942
Je@nb
Modérateur
Kindly give dime
Posté le 02-02-2010 à 15:00:58  profilanswer
 

Tu dois faire du NLA et la redirection il aime pas ça, il peut pas faire son authent kerberos ou par certificat donc tu as le message d'erreur je suppose.
 
Après le PB des OS en Français c'est que pour chercher avec un message d'erreur, bah tu trouves pas gd chose :/ encore moins qd tu as pas l'id et la source :/ (si erreur dans eventlog).

n°62944
Vini
Vini - Le vrai
Posté le 02-02-2010 à 15:12:02  profilanswer
 

Je@nb a écrit :

Tu dois faire du NLA et la redirection il aime pas ça, il peut pas faire son authent kerberos ou par certificat donc tu as le message d'erreur je suppose.
 
Après le PB des OS en Français c'est que pour chercher avec un message d'erreur, bah tu trouves pas gd chose :/ encore moins qd tu as pas l'id et la source :/ (si erreur dans eventlog).


 
Merci de ta réponse ;)
 
Je préfère préciser que je suis stagiaire, je découvre à chaque instant de nouvelles choses mais il me reste encore beaucoup de vocabulaire à assimiler ;)
 
J'ai pas bien compris :

Citation :

Tu dois faire du NLA et la redirection il aime pas ça


 
Et effectivement je n'ai rien dans le eventlog :/ Et seuls mes serveurs sont en Anglais, mais c'est le client qui génère l'erreur ... en Français :d


---------------
« Quand tu vois la gueule des voitures sur le parking, tu comprends vite qui gagne bien sa vie et qui la sponsorise » ©duck
n°62945
Je@nb
Modérateur
Kindly give dime
Posté le 02-02-2010 à 15:17:41  profilanswer
 

NLA = Network level auth, ton serveur RDP présente carte blanche et annonce qui il est. Le client le vérifie, par rapport à l'url entré et si le serveur a présenté une preuve de son identité (soit par Kerberos, soit via un certificat).
 
Qd tu pointes vers farm.... et que ton client est redirigé il suspecte qu'il y a une attaque (Mitm) et t'avertis.
 
Sous 2008 R2 on peut demander au brocker d'avoir un compte pour Kerberos et qu'il pousse sur les RDSH, je sais pas si ça peut t'aider, ça fait lgt que j'ai pas fait de load balancing.
 
Sinon faut virer le NLA pour tester :D (mais tu perds en sécu)

n°62946
Vini
Vini - Le vrai
Posté le 02-02-2010 à 15:31:08  profilanswer
 

Je@nb a écrit :

NLA = Network level auth, ton serveur RDP présente carte blanche et annonce qui il est. Le client le vérifie, par rapport à l'url entré et si le serveur a présenté une preuve de son identité (soit par Kerberos, soit via un certificat).
 
Qd tu pointes vers farm.... et que ton client est redirigé il suspecte qu'il y a une attaque (Mitm) et t'avertis.
 
Sous 2008 R2 on peut demander au brocker d'avoir un compte pour Kerberos et qu'il pousse sur les RDSH, je sais pas si ça peut t'aider, ça fait lgt que j'ai pas fait de load balancing.
 
Sinon faut virer le NLA pour tester :D (mais tu perds en sécu)


 
Ça résume totalement la situation. Normal qu'un poste n'appartenant pas au domaine se prenne pas tempête à la connexion ? :??:
 
Et maintenant me reste à trouver comment avoir un compte pour le broker ;)
 
Ca m'aide déjà beaucoup, merci :jap:


---------------
« Quand tu vois la gueule des voitures sur le parking, tu comprends vite qui gagne bien sa vie et qui la sponsorise » ©duck
n°62954
Je@nb
Modérateur
Kindly give dime
Posté le 02-02-2010 à 16:53:29  profilanswer
 

Bah le poste non connecté au domaine ne peut pas faire de kerberos.
 
Après je suis pas sur que se soit ça hein ton problème. Faudrait essayer avec un OS client en anglais pour voir le message d'erreur :D

n°62959
Vini
Vini - Le vrai
Posté le 02-02-2010 à 17:12:26  profilanswer
 

J'essaie ça demain, là je suis sur une vilaine doc ;)


---------------
« Quand tu vois la gueule des voitures sur le parking, tu comprends vite qui gagne bien sa vie et qui la sponsorise » ©duck
n°62975
Vini
Vini - Le vrai
Posté le 03-02-2010 à 09:29:13  profilanswer
 

Petite question, pour le coup, il faudra que j'installe un serveur de licences par serveur et que je répartisse équitablement mes licences ?
 
Merci ;)
 
J'essaie de chopper le message d'erreur en Anglais dans la journée ;)


---------------
« Quand tu vois la gueule des voitures sur le parking, tu comprends vite qui gagne bien sa vie et qui la sponsorise » ©duck
n°62983
Je@nb
Modérateur
Kindly give dime
Posté le 03-02-2010 à 10:50:55  profilanswer
 

Non, un serveur de licence et tu mets toutes tes licences dessus et tu dis à tes serveurs d'utiliser ce serveur de licences

mood
Publicité
Posté le 03-02-2010 à 10:50:55  profilanswer
 

n°62984
Vini
Vini - Le vrai
Posté le 03-02-2010 à 10:54:39  profilanswer
 

D'accord donc c'est tout bête ça, il répartira toutes mes licences de façon équitable alors ;)

 

Edit : Le pack de langue US s'installe ;)


Message édité par Vini le 03-02-2010 à 10:54:54

---------------
« Quand tu vois la gueule des voitures sur le parking, tu comprends vite qui gagne bien sa vie et qui la sponsorise » ©duck
n°62987
Vini
Vini - Le vrai
Posté le 03-02-2010 à 11:28:56  profilanswer
 

C'est bon, voila l'erreur

 
Citation :


---------------------------
Remote Desktop Connection
---------------------------
The connection cannot be completed because the remote computer that was reached is not the one you specified. This could be caused

 

by an outdated entry in the DNS cache. Try using the IP address of the computer instead of the name.
---------------------------
OK  
---------------------------

 

:jap:

 

Et une réponse associée avec Google

 
Citation :


I deleted all the DNS entries related to my farm and inputted them again from scratch and then the whole thing started working again.

 

Je vais voir en supprimant mes fermes depuis dnsmgmt sur mon DC ;)


Message édité par Vini le 03-02-2010 à 11:31:21

---------------
« Quand tu vois la gueule des voitures sur le parking, tu comprends vite qui gagne bien sa vie et qui la sponsorise » ©duck
n°62989
Je@nb
Modérateur
Kindly give dime
Posté le 03-02-2010 à 11:38:54  profilanswer
 

Tu as bien configuré pour qu'ils soient membre d'une ferme tes TS ? (dans les propriétés du rdhost ?)

n°62992
Vini
Vini - Le vrai
Posté le 03-02-2010 à 11:42:19  profilanswer
 

Oui, ça s'est configuré automatiquement grâce à une GPO ;)


---------------
« Quand tu vois la gueule des voitures sur le parking, tu comprends vite qui gagne bien sa vie et qui la sponsorise » ©duck
n°63012
Vini
Vini - Le vrai
Posté le 03-02-2010 à 16:15:52  profilanswer
 

Bon, j'ai testé en tappant le nom de ma ferme (farm) au lieu du nom d'un de mes serveurs (TS1) et ... ça passe :/ Sauf qu'il me demande de valider des certificats ...
 
C'est vraiment curieux :/
 
Je garde le sujet ouvert car je vais tester encore 2-3 trucs comme le SSO et le déploiement d'un certificat


---------------
« Quand tu vois la gueule des voitures sur le parking, tu comprends vite qui gagne bien sa vie et qui la sponsorise » ©duck
n°63095
Vini
Vini - Le vrai
Posté le 05-02-2010 à 10:53:35  profilanswer
 

Bon, voila tout fonctionne :d
 
Maintenant dernier gros point, mes utilisateurs de clients légers ont leur bureau personnel avec Outlook & co d'installé.
 
Le problème, c'est que sur l'équilibrage de charge, l'utilisateur ne retrouve plus son bureau ni rien ...
 
J'essaie de voir les profils itinérants mais ça marche pas très bien ...
 
Une idée ?


---------------
« Quand tu vois la gueule des voitures sur le parking, tu comprends vite qui gagne bien sa vie et qui la sponsorise » ©duck
n°100433
ankou2000
Bf @ toxin29460
Posté le 05-09-2012 à 11:40:41  profilanswer
 

Vini a écrit :

Bon, voila tout fonctionne :d
 
Maintenant dernier gros point, mes utilisateurs de clients légers ont leur bureau personnel avec Outlook & co d'installé.
 
Le problème, c'est que sur l'équilibrage de charge, l'utilisateur ne retrouve plus son bureau ni rien ...
 
J'essaie de voir les profils itinérants mais ça marche pas très bien ...
 
Une idée ?


 
GPO redirection de dossier  :o


---------------
ACH VDS FEED https://forum.hardware.fr/forum2.ph [...] w=0&nojs=0
n°100438
skoizer
tripoux et tête de veau
Posté le 05-09-2012 à 12:16:27  profilanswer
 

tu as juste 2 ans et demi de retard ...


Message édité par skoizer le 05-09-2012 à 12:16:37

---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°100510
Vini
Vini - Le vrai
Posté le 06-09-2012 à 17:18:06  profilanswer
 

Ah oui, mon stage de troisième année :d


---------------
« Quand tu vois la gueule des voitures sur le parking, tu comprends vite qui gagne bien sa vie et qui la sponsorise » ©duck

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro

  [W2K8R2]Remote Desktop Session Broker

 

Sujets relatifs
comment ajouter une session localeActiver service remote registry via GPO (2003 server)
Teledistribution et Remote deployment sans AD?Ouverture de session par carte à puce
Session Citrix RésérvéeComment ne pas reclamer l'IP remote pour entrer ?
Windows 2003 : Session Directory ne fonctionne pas.Ouerture de session et DNS
ouverture de session compte configuré[Win2003] Session TS et lancement d'appli automatique
Plus de sujets relatifs à : [W2K8R2]Remote Desktop Session Broker


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR