我有以下 Windows 2012 R2 RemoteApp 设置
- Server1 - 角色(Web 访问、连接代理、RD 主机)192.168.100.1
- Server2 - 角色(连接代理、RD 主机)192.168.100.2
用于循环的 DNS 条目
- RDWA 192.168.100.1, 192.168.100.2
- RDCB 192.168.100.1, 192.168.100.2
使用 HA(服务器 1、服务器 2)设置连接代理 - 它使用 DNS 循环的 RDCB 别名(ClientAccessName)
集合名称:“General”,仅发布记事本。已应用通配符证书。
配置 IIS:默认网站重定向至/RDWeb/...
,允许单点登录
客户端机器上的 GPEDIT..允许默认凭据委派并允许TERMSRV/*
我的测试。
基本上。如果我从客户端打开浏览器并指向 RDWA(远程 Web 访问)...我会得到远程 Web 表单。我可以看到记事本。当我单击记事本时。我收到以下提示:
您的凭证无效
您的系统管理员不允许使用默认凭据登录远程计算机 RDCB.TEST.LOCAL,因为其身份尚未完全验证。请输入新凭据。
笔记:
在设置 Connecton Broker HA 之前,我没有收到此消息提示。它会顺利完成单点登录。我可能认为我需要设置一个名为 RDCB 的 Kerberos 身份,就像我在 Windows 2008 R2 中所做的那样。但这在 Windows 2012 中看起来有所不同,并且无法找到执行此操作的 Powershell 命令。
答案1
我做了一些调查,发现 2012 不像 2008 R2 那样使用 Kerberos 身份。因此,我尝试启用以下“允许使用仅 NTLM 服务器身份验证委派默认凭据”。
这似乎起了作用,现在我的单点登录可以正常工作了。
谢谢你的帮助。干杯
答案2
我首先建议你分开你的角色,特别是如果你想测试预生产。会话主机的问题会直接影响你的 CB 并导致其他问题。如果你有开发许可和使用虚拟机的保障,那就尽情发挥吧。CB 角色不需要太多资源,你甚至可以做服务器核心。
至于这个问题,我怀疑它源于您的权限组分配。尝试一个测试域组,甚至只是一个用户。
2008 RDSH 中的许多技巧和废话似乎在 2012+ 中已经消失,但仍然存在一些问题。