以下是服务器的概要:
- 作为 Server 2003 域中的成员服务器运行的 Server 2008 Standard
- 为需要使用 RemoteApp 访问 POS 应用程序的 5 位用户运行终端服务
- 运行自己的许可服务器:
- 已安装 5 个 TS 每用户 CAL
- “配置审查”给了我一个提示,抱怨许可服务器未安装在 DC 上。
- 该服务器是 AD 中“终端服务器许可证服务器”组的成员
- 它才不是似乎正在发放许可证,尽管用户可以正常登录。
当用户登录时我收到以下错误:
终端服务许可证服务器无法更新 Active Directory 域“[domainname]”中用户“[username]”的许可证属性。请确保许可证服务器的计算机帐户是 Active Directory 域“[domainname]”中终端服务器许可证服务器组的成员。如果许可证服务器安装在域控制器上,则网络服务帐户也需要是终端服务器许可证服务器组的成员。如果许可证服务器安装在域控制器上,则在将相应帐户添加到终端服务器许可证服务器组后,必须重新启动终端服务授权服务以跟踪或报告 TS Per User CAL 的使用情况。Win32 错误代码:0x80070005
这似乎给 RemoteApp 用户带来了一些问题。会话似乎断开了,然后在他们的系统上留下了一个完全黑屏。他们无法关闭黑屏——我必须使用终端服务管理器远程注销他们。它还迫使他们在“显示详细信息”窗口中加载 RemoteApp,该窗口显示用户何时登录终端服务器(这很难描述——如果有人需要,我会抓取屏幕截图)。
我读了此主题和这个在 technet 上,两者都指向以下安全密钥:
- msTS有效日期
- msTSLicenseVersion
- msTS管理LS
我到处寻找这些密钥,以便授权服务器能够充分授权用户,但我找不到它们。我正在为我的用户帐户选择我的 OU,并尝试更改那里的安全性,但我找不到要更改的密钥。
此域已从 Server 2000 升级到 Server 2003,因此这可能是密钥不存在的原因。一些人提到从 Server 2008 计算机执行 adprep 以将正确的安全密钥写入用户,但这会给我现有的 Server 2003 域控制器带来问题吗?我计划在今年晚些时候才将我的域控制器升级到 Server 2008。
有人知道我该如何手动将安全密钥添加到使用此终端服务器的 5 个用户吗?我还能做些什么来解决这个问题吗?
谢谢!
编辑:我特别想知道是否从 Server 2008 运行 adprep成员服务器在 Server 2003 域中是否会修复此问题或导致其他问题。有人有什么见解吗?
答案1
答案2
我认为 adprep、schema update 等无法解决您的问题。升级架构没有问题,因为如果有新的 dcs 进来,您也必须这样做。
就我而言,我有原生的 2008 r2,当然是从 2000 迁移到 2003,再迁移到 2008 r2,还有 2008 r2 ts、ts lic,2008 r2 中的一切都是原生的。
但效果相同。在实际环境中看不到任何问题,但也将此信息记录在 ts 许可证服务器上。
因此,如果您深入了解基础设施,您将看到 - 新创建的用户帐户 - 您的某些帐户确实具有多个 msTS 属性。
我发现,实际上,具有缺失属性的组织单位中的所有用户帐户都在同一组中。同一个 OU。所以我认为这个问题发生在自创的组织单位中,其中存在一个问题,例如缺少可继承权限设置、缺少安全设置。
我现在正在测试这个。
我想对大家说的是:
在此错误环境中,您的系统尚未更新,adprep,schemaprep 等。请查看您的 ous、用户对象上的安全设置。
mathias rühn - kopyczynski
补充:解决方案是向缺少三个 msTS 属性的用户对象授予安全权限:为终端许可证服务器组读取和“写入终端服务器许可证服务器”。
如果您通过远程桌面或 citrix 再次登录,则会在特定用户上创建三个属性并填充信息。
在我的某个基础设施中,新创建的 ous 也出现了问题。我必须在第二级 ous 上手动进行此设置。
答案3
您提到的“安全密钥”似乎是 LDAP 属性(我个人并不熟悉这些属性,但它们遵循标准命名约定),因此您需要使用 adsiedit.msc(可在Windows Server 2003 资源工具包) 来获取它们。
通过 adprep 进行架构升级是个好主意。除了带来这些属性之外,它还会在您迁移到 2008 DC 之前为新架构提供一个适应期。马西莫据说,这是一个安全的操作,但在执行此操作之前,请确保您拥有 AD 的可行备份(并且您知道可以从中恢复!),以防您在中途发生电源故障或其他令人讨厌的事情。
除了架构升级之外,您是否在任何时候将 TS 框移动到了新的 OU?当您这样做时,几个 MS 服务会变得不高兴,并且 - 如果您没有重新启动服务或重新启动框 - 可能会出现不稳定的行为。我认为在计算机移动操作后重新启动与 AD 交互的任何服务是一种普遍的良好做法。