Bonjour,

Dans notre entreprise nous disposons de deux serveurs Terminal Server sous Windows Server 2003.

Dans un futur proche, nous espérons passer sur deux serveurs Remote Desktop sous Windows Server 2008 R2 dans le but de profiter de la technologie de l'équilibrage de session (Session Broker)  

En suivant le lien http://aidetse.free.fr/?p=295 j'ai configuré mes machines.

Dans mon labo de test en machine virtuelle j'ai donc :

• Un controleur de domaine nommé DC avec le rôle AD, DNS et Remote Desktop Connection Broker
• Un RD server nommé TS1 avec le rôle Remote Desktp Session Host
• Un RD server nommé TS2 avec le rôle Remote Desktp Session Host
• Un client Windows 7 membre du domaine
• Un client XP en Workgroup

Le réseau se nomme exia.lan et l'IP du contrôleur de domaine est 192.168.100.10

Tous les serveurs fonctionnent sous Windows Server 2008 R2 Enterprise Edition

Tous les tests d'IP fonctionnent, les firewall sont désactivés pour éviter tout problème

Avec le client XP (hors du domaine) l'équilibrage de charge fonctionne parfaitement, on voit que les sessions se répartissent bien d'un serveur à l'autre  

En revanche, sur le poste sur Win7 (membre du domaine), la première ouverture de session se passe remarquablement bien, mais dès que j'en ouvre une seconde pour équilibrer la charge, le message suivant apparait :

Effectivement, en testant avec l'IP directe, la répartition se fait sans problème mais je dois valider des certificats du nom des deux serveurs RD à la main.

Le problème vient peut être de là ? Peut être dois-je distribuer des certificats ? Mais je sais pas vraiment comment faire

Je précise aussi qu'en testant avec un autre poste XP membre du domaine, un message du même genre s'affichait

Dans les deux cas, on se rend compte que le poste client sait qu'il est redirigé vers un autre serveur ...

Dans ma fenêtre DNS, j'ai bien mon CD et mes deux serveurs dans la zone de recherche directe, et j'ai même surchargé en associant l'entrée "Farm" avec les IP des serveurs, en résumé

• DC : 192.168.100.10
• TS1 : 192.168.100.11
• TS2 : 192.168.100.12
• FARM : 192.168.100.11
• FARM : 192.168.100.12

Au niveau de la GPO, j'ai suivi la vidéo du lien en début de post, tout redescend sur mes serveurs RD, j'ai rien à configurer.

J'ai juste un doute sur le filtre de sécurité de ma stratégie de sécurité, elle s'applique au groupe "Utilisateurs Authentifiés" alors que sur la vidéo, il semblerait que l'auteur ai crée un groupe spécial nommé "Serveurs TS" (@ 2:30)

Aussi, vers 6:40 sur la vidéo, on voit les propriétés du Session Broker TS avec une case nommée "Poids relatif du serveur dans la batterie" avec une valeur de 100. De mon côté, je peux éditer la valeur mais ça nécessite de cocher la case de l'IP (La phrase en gras correspond à un concept très flou qui m'oblige à jongler sans cesse entre les deux serveurs RD pour "tester" les différentes options)

C'est long

Mais pour résumer :

Avec un client hors domaine, tout marche, avec un client enregistré dans le domaine, ça marche pas.

Un grand merci à tous les futurs participant

Vini

Ce sujet a été déplacé de la catégorie OS Alternatifs vers la categorie Systèmes & Réseaux Pro par O'Gure

Tu dois faire du NLA et la redirection il aime pas ça, il peut pas faire son authent kerberos ou par certificat donc tu as le message d'erreur je suppose.
 
Après le PB des OS en Français c'est que pour chercher avec un message d'erreur, bah tu trouves pas gd chose encore moins qd tu as pas l'id et la source (si erreur dans eventlog).

 
Merci de ta réponse
 
Je préfère préciser que je suis stagiaire, je découvre à chaque instant de nouvelles choses mais il me reste encore beaucoup de vocabulaire à assimiler
 
J'ai pas bien compris :

 
Et effectivement je n'ai rien dans le eventlog Et seuls mes serveurs sont en Anglais, mais c'est le client qui génère l'erreur ... en Français

NLA = Network level auth, ton serveur RDP présente carte blanche et annonce qui il est. Le client le vérifie, par rapport à l'url entré et si le serveur a présenté une preuve de son identité (soit par Kerberos, soit via un certificat).
 
Qd tu pointes vers farm.... et que ton client est redirigé il suspecte qu'il y a une attaque (Mitm) et t'avertis.
 
Sous 2008 R2 on peut demander au brocker d'avoir un compte pour Kerberos et qu'il pousse sur les RDSH, je sais pas si ça peut t'aider, ça fait lgt que j'ai pas fait de load balancing.
 
Sinon faut virer le NLA pour tester (mais tu perds en sécu)

 
Ça résume totalement la situation. Normal qu'un poste n'appartenant pas au domaine se prenne pas tempête à la connexion ?
 
Et maintenant me reste à trouver comment avoir un compte pour le broker
 
Ca m'aide déjà beaucoup, merci

Bah le poste non connecté au domaine ne peut pas faire de kerberos.
 
Après je suis pas sur que se soit ça hein ton problème. Faudrait essayer avec un OS client en anglais pour voir le message d'erreur

J'essaie ça demain, là je suis sur une vilaine doc

Petite question, pour le coup, il faudra que j'installe un serveur de licences par serveur et que je répartisse équitablement mes licences ?
 
Merci
 
J'essaie de chopper le message d'erreur en Anglais dans la journée

Non, un serveur de licence et tu mets toutes tes licences dessus et tu dis à tes serveurs d'utiliser ce serveur de licences

D'accord donc c'est tout bête ça, il répartira toutes mes licences de façon équitable alors

Edit : Le pack de langue US s'installe

C'est bon, voila l'erreur

Et une réponse associée avec Google

Je vais voir en supprimant mes fermes depuis dnsmgmt sur mon DC

Tu as bien configuré pour qu'ils soient membre d'une ferme tes TS ? (dans les propriétés du rdhost ?)

Oui, ça s'est configuré automatiquement grâce à une GPO

Bon, j'ai testé en tappant le nom de ma ferme (farm) au lieu du nom d'un de mes serveurs (TS1) et ... ça passe Sauf qu'il me demande de valider des certificats ...
 
C'est vraiment curieux
 
Je garde le sujet ouvert car je vais tester encore 2-3 trucs comme le SSO et le déploiement d'un certificat

Bon, voila tout fonctionne
 
Maintenant dernier gros point, mes utilisateurs de clients légers ont leur bureau personnel avec Outlook & co d'installé.
 
Le problème, c'est que sur l'équilibrage de charge, l'utilisateur ne retrouve plus son bureau ni rien ...
 
J'essaie de voir les profils itinérants mais ça marche pas très bien ...
 
Une idée ?

 
GPO redirection de dossier  

tu as juste 2 ans et demi de retard ...

Ah oui, mon stage de troisième année