Kategori arşivi: Terminal Server

Terminal Oturumlarında Ses Kayıt Aygıtlarını Aktifleştirme – Configure Audio Recording for RDS and RDP

Malum pek çok sistem uzak erişim ile yönetilmektedir. Ancak yönetilen sistemler genellikle sunucu sistemleri olduğu için ses aygıtlarının terminal oturumlarında aktif olması elzem bir ihtayaç değildi. Ancak günümüzde VDI teknolojisinin yaygınlaşması ve terminal oturumlarının eskiye göre daha sık kullanılması nedeni ile kullanıcı deneyimini arttırmak için bir takım değişiklikler yapmak zorunda kalıyoruz. Buna çok basit bir örnek vermek adına Lync Clien için ses aygıtı olmadan bir toplantıya katılmak ne yazık ki mümkün değil. Benzer bir durum Lync Attendee içinde geçerli.

Tabiki siz bu örnekleri artttırabilirsiniz. Benim özellikle Lync için ihtiyacım olan bu bilgiyi bulduğum zaman paylaşmayı unutmuştum ancak şimdi yine lazım olunca fark ettim ki bunu paylaşmak kendi aramalarım içinde hızlı bir çözüm olacaktır.

Windows 7 ve Server 2008 R2 ile beraber artık RDP oturumlarında aynı ses aygıtını yönlendirdiğimiz gibi kayıt cihazlarınıda yönlendirebiliriz.

Varsayılan olarak siz zaten aşağıdaki gibi ses aygıtlarını yönlendirebiliyorsunuz.

1

Bu ayarları yaptığınız yerde yine kayıt aygıtı içinde bir ayar görebiliyorsunuz. Ancak bu ayarı “Record from this computer” seçeneğini işaretlemenize rağmen RDP yaptığınız makinede “Recording Devices” bölümüne tıklayınca hiç bir aygıtın olmadığını görüyorsunuz.

2

3

Peki şimdi bağlandığımız sunucuda veya istemci makinede aşağıdaki gibi bir kayıt defteri değişikliği yapıyoruz.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

fDisableAudioCapture

Bu değeri" “0” sıfır yapıyoruz ve bir kere restart işlemini gerçekleştiriyoruz.

Şimdi RDP ayarlarınıda aşağıdaki gibi yapıyoruz;

4

Sonuç ise aşağıdaki gibidir;

5

Umarım faydalı bir ip ucu olmuştur.

Microsoft Windows TerminalServices Licensing EventID 4105

 

Ortamınıza bulunan Windows Server 2008 veya 2008 R2 RDS lisans sunucularında bu hataları almaya başlıyorsanız eğer bu durumda lisans sunucuları kullanıcıların “license attributes” ( msTSExpireDate, msTSLicenseVersion, msTSManagingLS ) olarak isimlendirilen istemci lisansları ile ilgili olan ( RDS CAL Lisansı ) bölümlerini  güncelleyemedikleri gösterir. Bir sunucunun bu öz niteliğe erişip ( attribute ) değişiklik yapması için öncelikle “Terminal Server License Servers” grubunun üyesi olması gerekmektedir. Eğer bu kontrolü yapmanıza ve RDS Lisans sunucunun bu gruba üye olmasına rağmen bu hatayı alıyorsanız bu durumda objelerin üzerindeki izinleri kontrol etmek gerekir. Veya Terminal Server DC üzerinde yüklü ise network servisi “Terminal Server License Servers” grubuna üye olmalıdır.

Peki ilk iki durum size uygun değil ise geriye izinleri kontrol etmek ve eksik ise güncellemek kalıyor ( çalışan sistemde birden böyle bir değişiklik oldu ise 2008 adprep ile forestprep komutu gibi ACL’ leri değiştiren bir güncelleme yapılmış olabilir. 2003 ortamınızı 2008′ e taşımak için adprep /forestprep yaparsanız bu izinlerin değişmesi muhtemeldir. )

Bunun için “Terminal Server License Servers” grubunu user objesi içerisindeki “terminalserver” attribute’ üne yazma yetkisi vermemiz gerekiyor. Bunun görsel arayüz üzerinden delegasyon veya security sekmesi ile yapabileceğiniz gibi dsacls komutu ilede yapabilirsiniz

Windows Server 2003 Schema yapısı için

dsacls “CN=XXXX,OU=XXXX,OU=XXXX,OU=XXXX,DC=XXXX,DC=XXXX,DC=XXX” /G

“BUILTIN\Terminal Server License Servers:WPRP;terminalServer”

Burada tek tek kullanıcı bazlı değilde OU bazlı yetki vermek için aşağıdaki komutu kullanabilirsiniz

dsacls “OU=XXXX,DC=XXXX,DC=XXXX,DC=XXX” /I:S /G

“BUILTIN\Terminal Server License Servers:WPRP;terminalServer;user”

Windows Server 2008 Schema yapısı için komutlar aşağıdaki gibidir

dsacls “CN=XXXX,OU=XXXX,OU=XXXX,OU=XXXX,DC=XXXX,DC=XXXX,DC=XXX” /G

“BUILTIN\Terminal Server License Servers:WPRP;Terminal Server License Server”

OU’ lar için

dsacls “OU=XXXX,DC=XXXX,DC=XXXX,DC=XXX” /I:S /G

“BUILTIN\Terminal Server License Servers:WPRP;Terminal Server License Server;user”

Bu yetkileri komut seti değilde arayüz kullanarak vermek için adsiedit yönetim aracını windows server 2008 veya 2008 R2 DC üzerinde açıyoruz, ardından domain bölümüne bağlanıp yetki vermek istediğimiz kullanıcıların bulunduğu OU’ ya geliyorz ve sağ tıklayarak özellikler bölümünden security sekmesine geliyoruz, ardından advanced bölümüne geçiyoruz, add diyerek “Terminal Server License Servers” grubunu ekliyoruz. Ancak ok demeden önce açtığınız bu pencerenin üst bölümündeki “properties” tabına geçerek “Apply to” açılır menüsünden “Descendant User objects” bölümü seçiyoruz ve aşağıdaki izinleri veriyoruz

 

Read msTSExpireDate

Write msTSExpireDate

Read msTSLicenseVersion

Write msTSLicenseVersion

Read msTSManagingLS

Write msTSManagingLS

Daha sonra ayarları kayıt edip çıkıyoruz hepsi bu kadar.

Windows Server 2008 RDS ile Windows Server 2003 Remote Desktop Farkları

Windows Server 2008 üzerinde olu 2003 te olmayan özellikler aşağıdaki şekilde listelenmiştir

  • TS Remote App
  • TS Gateway
  • TS Web Access
  • TS Easy Print
  • Unified TS and Web Client
  • 32-bit color
  • Font Smoothing
  • Display Data Prioritization
  • Large Resolution Support
  • Monitor Spanning
  • Advanced Compression
  • PnP Device Redirection Framework Support
  • Advanced Clipboard Rediction
  • Network Level Authentication
  • CredSSP Single Sign On
  • Network Access Protection Integration
  • RDP Signing
  • Wildcard SSL-certificate support
  • Per-User License Tracking
  • License Diagnosis and Support Tools
  • Session Broker (session based load balancing)
  • Windows System Resource Management Support
  • Full IPv6 Support

Terminal Server Profiles for Users in Active Directory Attribute

Active Directory üzerinde bildiğiniz gibi içerisinde sakladığı nesnelere ait öz nitelikler yani attribute’ ler bulunmaktadır. Örneğin Active Directory Users and Computer uygulaması üzerinden bir kullanıcıda yapacağınız değişiklikleri isterseniz Active Dirtectory veri tabanını görüntüleyen ADSI edit vb araçlar ilede değiştirebilirsiniz. Ancak burada bir sorun karşımıza çıkıyor.Örneğin aşağıdaki Terminal Services Profile sekmesi altındaki attribute leri adsi edit ile active director veri tabanında bulamıyoruz.

Ancak bu bölüme ait hiç bir attribute ADSI edit ile gözlemlenmemektedir.

Bu durumda ne yapacağız peki ?  Terminal Server takımı tarafından geliştirilen bir power shell komutu ile bu kayıp attribute ler değiştirilebilmektedir.

function SetTSProperties()
{
$ou = [adsi]”LDAP://ou=mytestou,dc=nwtraders,dc=com”
$user = $ou.psbase.get_children().find($userDN)
$user.psbase.invokeSet(“allowLogon”,1)
$user.psbase.invokeSet(“TerminalServicesHomeDirectory”,$hDirValue)
$user.psbase.invokeSet(“TerminalServicesProfilePath”,$ppValue)
$user.psbase.invokeSet(“TerminalServicesHomeDrive”,$hdValue)
$user.setinfo()
} #end SetTSProperties

function QueryTSProperties()
{
$ou = [adsi]”LDAP://ou=mytestou,dc=nwtraders,dc=com”
$user = $ou.psbase.get_children().find($userDN)
foreach($property in $aryTSProperties)
{
“$($Property) value: $($user.psbase.invokeget($Property))”
} #end foreach
} #end QueryTSProperties

$userDN = “CN=My User”
$hDirValue = “\\Hamburg\TSUsers\Home\TestUser”
$hdValue = “t:”
$ppValue = “\\Hamburg\TSUsers\Profiles\TestUser”
$aryTSProperties=”allowLogon”,”TerminalServicesHomeDirectory”,
“TerminalServicesHomeDrive”,”TerminalServicesProfilePath”
SetTSProperties
queryTSProperties

Yukarıdaki komut yardımı ile kolay bir şekilde bu bölümleri güncelleyebilirsiniz.

Terminal Server SSO (Single Sign On) Kullanımında Windows XP Sp3 Kullanıcı Parolasının Tekrar Sorulma Hatası

Merhabalar;
Geçenlerde başımıza gelen ilginç bir sorun (ki aslında bu bir bug) ile karşılaştık. Ortamda iki adet Windows Server 2008 Sp2 Enterprise Edition Terminal Server ve bir adet de Windows Server 2008 Sp2 Terminal Server Session Broker ve Terminal Server Licence Server rollerini üstllenen sunucularımız var ve bunların içerisinde bulunduğu farm yapısı mevcuttu. Windows XP Sp3 işletim sistemi olan kullanıcılar farm adını kullanarak ortamda ki terminal server lar üzerinde oturum açmak istediklerinde parolaları iki kez soruluyordu. Microsoft ile yapılan çalışma sonucunda bunun Windows XP Sp3 den kaynaklanan bir bug olduğu ortaya çıktı. Sebebi ise kimlik doğrulaması sırasında ilk olarak Kerberos tabanlı kimlik doğrulama yöntemi kullanılıp bu yöntemin başarısız olmasından sonra Windows XP makinenin NTLM tabanlı kimlik doğrulama yöntemine geçmemesinden kaynaklanmaktadır. Çözüm yöntemini aşağıda bulabilirsiniz.
    
NOT: Yöntem hotfix yüklenmesini gerektirdiğinden sorununuzun kaynağının kesinlikle bu konu olduğundan emin olmanızı ve belirlediğiniz bir iki makinede öncelikle test etmenizi tavsiye ederim.
 
Öncelikle http://support.microsoft.com/kb/953760 adresinden sisteminize uygun hotfix i indirelim ve uygulayalım. Ardından aşağıda ki registry key lerini sistemimize ekleyelim ve bilgisayarı yeniden başlatalım.
 
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa altında ki Security Packages kayıtını kontrol edelim ve yok ise tspkg değerini en alta ekleyelim.

          

  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\ altında ki Security Providers kayıtını kontrol edelim ve yok ise credssp.dll değerini ekleyelim. 

         

 
Sistemimizi yeniden başlattıktan sonra kullanıcımız ile terminal server üzerinde tekrar oturum açmayı deneyelim. Sorun giderilmiş olacaktır.
Faydalı olması dileğimle…
M. Hakan CAN

rdp copy and paste advanced clipboard redirection

Yeni nesil sunucu ve istemci işletim sistemlerinde karşımıza çıkan RDP ekranı üzerinde pek çok dosya ve resmi copy – paste yöntemi ile taşıyan bu yeni özelliğin ismi Advanced Clipboard Redirection dır. Ancak burada çokça sorulan bir soruya yanıt vermek istiyorum. Advanced Clipboard redirection çalışmasın fakat normal text copy paste çalışsın tarzında istekler oluyor. Bunun temel sebebi , güvenliğe önem veren firmalar RDP ile bağlanılan bir sunucuya disklerin map olmasını yasaklıyor ve böylece kişiden bağımsız bir şekilde kötü içerikli kodların bilgi çalmasını veya sisteme zararlı kodları bulaştırmasını bir nebze olsun engelliyor. Aynı şekilde drive map edilmesini yasakladıktan sonra clipboard açık ise dosyaların bu yolla ( copy – paste ) taşınabilmesi rahatsızlık verici oluyor. Ancak üzgünüm ki eğer bu özelliği kapatmak istiyorsanız clipboard özelliğindende vazgeçmiş olmanız gerekiyor.

bu özelliği kapatmak için aşağıdaki yolu izleyebilirsiniz

Computer Configuration \ Administrative Templates \ Windows Components \ Remote Desktop Services \ Remote Desktop Session Hosts \ Device and Resource Redirection \ Do not allow clipboard redirection

Terminal Services Licensing service discovery

Windows Server 2000 ve 2003 Sunucularınız lisans sunucusunu bulmak için bir kaç farklı yöntem kullanır. Eğer ts workgroup bir makine ise ilk olarak registry üzerinde lisans sunucusu listesini kontrol eder ve eğer bulamaz ise bir broadcast ile bunu bulmaya çalışır.

ilgili anahtar

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService\Parameters\LicenseServers

Mailslot Broadcast olarak isimlendirilen ikinci durumda ise terminal server lar broadcast mesajlar ile lisans suınucularını bulur ve gelen cevaplara göre random olarak bir lisans sunucusu seçerler.

Ancak TS domain e üye bir makine ise bu durumda 3 farklı yöntem vardır.

ilk yöntem yine registry üzerinden ts lisans sunucularının listesine erişmek ister.

ikinci durumda ise TS  active directory üzerinde “TS-Enterprise-LicenseServer” objesini arar ve siz bunu aşağıdaki yolu takip ederek kontrol edebilirsiniz

1. Start / Run / adsiedit.msc / OK.

2. Expand Configuration.

3. Expand CN=Configuration,DC=Yourcorp,DC=domain,DC=com, and then expand CN=Sites.

4. Select the container for the site, like CN=Default-First-Site-Name, where the TS-Enterprise-License-Server object is located.

eğer yok ise siz oluşturabilirsiniz

5. Create a new object in the right-hand pane named CN=TS-Enterprise-LicenseServer.

6. Add the distinguished name of the license server in the SiteServer property of the newly created object:

CN=TS-Enterprise-License-Server,CN=site,CN=sites,CN=configuration,DC=domain,DC=com.

7. Close ADSI Edit

eğer var ve sorun oluyor ise silebilirsiniz.

üçüncü yöntemde ise aynı site üzerindeki tüm dc lere sorgu sorarak cevap bekler ve bulamaz ise aramayı bırakır.