Zentrale TerminalServer-Profile trotz Domänenvetrauenstellung nutzen

Wer schon einmal eine oder mehrere weitere Domänen an die Hauptdomäne eines Windows Netzwerkes angebunden hat, weiß das es viele kleine Sachen gibt, die man beachten muss.
Bei dem letzten Projekt hatten wir eine weitere Domäne für eine ausländische Niederlassung über eine Vertrauenstellung anbinden wollen. Die Benutzer sollten mit RemoteApps (Windows Server 2008 Terminal Services) an dem entfernten Hauptstandort arbeiten. Das Problem welches nun bestand war, dass sich das Benutzerkonto in einer anderen Domäne befindet, als der Computer (TerminalServer) an dem sich angemeldet wird.

Beispiel :
Benutzer ist in Domäne D-2
Computer ist in der Domäne D-1
Beide Domänen sind über eine Vertrauensstellung verbunden

Bei Anmeldung des Users aus der anderen Domäne (D-2), wurde dem Benutzer immer ein temporäres Profil auf dem TerminalServer (D-1) untergeschoben und man konnte dadurch natürlich keine Benutzereinstellungen tätigen und speichern.

Die Lösung ist aber denkbar einfach… sofern man weiß, wo die verantwortliche Policy zu finden ist:

Ort: Computer Konfiguration / Administrative Vorlagen / System / Gruppenrichtlinien
Name: „Gesamtstrukturübergreifende Benutzerrichtlinien und Servergespeicherte Benutzerprofile zulassen“

Erklärung der GPO (Windows Server 2003):

Lässt benutzerbasierte Verarbeitung von Richtlinien, servergespeicherte Profile und Benutzerobjektanmeldeskripts für gesamtstrukturübergreifende interaktive Anmeldungen zu.
Diese Einstellung ist für alle Benutzerkonten, die sich interaktiv an einem Computer in einer anderen Gesamtstruktur anmelden, wirksam, wenn eine domänenübergreifende oder gegenseitige Vertrauensbeziehung besteht.
Wenn Sie diese Einstellung nicht konfigurieren, – werden keine benutzerbasierten Richtlinieneinstellungen von der Gesamtstruktur des Benutzers angewendet, – erhalten Benutzer keine servergespeicherten Profile, sondern ein lokales Profil von der lokalen Struktur auf ihren Computer. Der Benutzer erhält eine Warnung und Meldung 1529 wird in das Ereignisprotokoll geschrieben. – wird die Loopback-Gruppenrichtlinienverarbeitung angewendet. Dies geschieht mit Hilfe von computerbezogenen Gruppenrichtlinienobjekten. – wird Meldung 1109 (Loopback wurde in Ersetzungsmodus aufgerufen) in die Ereignisprotokollierung geschrieben.
Wenn Sie diese Einstellung aktivieren, ist das Verhalten wie bei Windows 2000 Server-Produktfamilie, d.h. die Benutzerrichtlinie wird angewendet und ein servergespeichertes Profil wird vom der Vertrauensstruktur zugelassen.
Wenn Sie diese Einstellung deaktivieren, erhalten Sie das gleiche Verhalten wie wenn Sie sie nicht konfiguriert haben.

Diese Policy einfach auf dem TerminalServer aktivieren und schon funktioniert die Anmeldung des Benutzers aus der Domäne die per Vertrauensstellung angebunden ist, ohne dass dieser User ein temporäres Profil zugeordnet bekommt, welches bei der Abmeldung vom TerminalServer automatisch gelöscht wird.

Hinweis: Der Tipp kam von IOK und war GOLD WERT!
Hier der KB-Artikel dazu: http://support.microsoft.com/kb/910206/en-us

RemoteApp Probleme beim Windows TerminalServer 2008

Bug oder Feature:
Warum zum Henker macht Microsoft bei den RemoteApp Manger ein Feld Aliases rein?

Durch ein Rechtschreibfehler war für die Hälfte der Außenstellen die RemoteApp für zwei Stunden nicht erreichbar.

Wenn man RemoteApps updatet sollte man unbedingt darauf achten, dass das Feld Aliases identisch mit dem RemoteApp Namen ist, ansonsten kommt andauernd die Meldung, dass die RemoteApp nicht auffindbar ist oder nicht authorisiert ist.

Twitch’s DAU-Knast

Und wieder Zuwachs im DAU-Knast!

Vor kurzem war unser Außendienst aus komplett Deutschland und Europa in Bielefeld versammelt und einige brachten ihre Notebooks mit, da irgendetwas nicht passte. Eine Person meinte, dass er sich einen Virus eingefangen hätte, da seit ein paar Tagen beim Hochfahren eine seltsame Nachricht käme und er über CITRIX/TerminalServer nicht mehr zu Hause drucken könne. Fies wie ich bin, glaubte ich ihm schon einmal gar nicht und fragte, seit wann das denn genau wäre und was er in letzter Zeit so an seinem Notebook rum geschraubt hätte? Die Antwort bestätigte wieder einmal… ach, lassen wir das :-).

… die mittlerweile schon knatschende Gittertür auf und folgende Personengruppe hinein:

  • „Druckerinstallateure & Drucker-Umbenenner“
    … ich kann das, vertrau mir…

Neulich:
Fortsetzung von weiter oben…

Den Dialog erspare ich euch heute. Im Grunde kam heraus, dass die besagte Person zwei mal den gleichen Drucker hatte, aber den unter Windows eingerichteten Standarddrucker nicht angeschlossen hatte, so dass die Druckaufträge zwar zu dem besagten Drucker geschickt wurden, aber auf Grund fehlender Verbindung nicht gedruckt werden konnten :-)… *schräg*… warum macht man so etwas? 🙂

Die Virenmeldung war dann noch ein nicht sauber beendeter Installationsvorgang des vermeintlich NEUEN Druckers :-).

Office 2007 Kombatibilitätspack für Office 2003 auf TerminalServer 2008

Da habe ich ein Office 2003 Paket mit 10 Lizenzen ohne „open value“ und „SA“, die ich aber weiterhin auf einem Terminalserver 2008 nutzen wollte. Da viele Leute heutzutage aber nun doch schon Office 2007 haben ( 🙂 ) benötige ich natürlich das Kompatibilitätspack, damit auch jeder die z.B. *.docx oder *.xlsx – Files öffnen kann.

Das aktuell herunterzuladene Kompatibilitätspack (32 oder 64Bit Version) für Office 2003 funktioniert aber dummerweise nicht auf einem 64Bit Windows Server/TerminalServer 2008. Jedenfalls nicht bei meinen TerminalServern…

Zum Glück hatte ich noch eine ältere Version (aus Ende 2008). Die Version einfach kurz installiert, vorher natürlich in der Konsole „change user /install“ getippt,  und fertig!

Siehe da, ich kann Office 2007 Dokumente mit Office 2003 auf dem 64Bit TerminalServer öffnen.

Leider bin ich nicht ganz so schnell auf die Idee gekommen ne alte Version zu nehmen. Stattdessen habe ich wilde Knowledgebase Artikel durchforstet … ohne Erfolg :-(.

Manchmal ist es eben doch besser downzugraden?.. *g*

Bildanhänge lassen sich nicht öffnen über Outlook 2003 auf Windows 2008 TerminalServer

Neben diversen Problemen in einer reinen 32Bit Serverumgebung den ersten wirklichen 64Bit Server zu integrieren (dazu irgendwann später mehr), kommt es auch zu lustigen Effekten bei den ersten Schritten mit Windows Server 2008/ Windows TerminalServer 2008.

So kam vor kurzem folgende Meldung, als man aus dem Outlook 2003 in der TerminalServer-Session ein Bild aus dem E-Mailanhang öffnen wollte:

Das Drucken von Bildern ist ohne die Desktop Experience Funktion nicht möglich.

*Ironie an*
Ha! Bei den Fehlerbeschreibungen hat MS gut nach gebessert :-).
*Ironie aus*

Fehlergrund:

Die Fehlermeldung von oben weißt zwar nicht direkt darauf hin, aber mit ein bisschen Überlegen und genauerem Hinsehen merkt man, dass die Windows Fotogalerie fehlt. Lokal liegende Dateien macht er nämlich z.B. mit MS Paint auf… lustig.

Problembeseitigung:

Über Servermanager das Feature „Desktopdarstellung“ installieren…

… easy oder, aber hätten Sie nicht einfach melden könne, dass das Feature nicht installiert ist? 🙂