服务器 Gind.cn
  1. 服务器 Gind.cn
  3. terminal服务2008年 – 错误4105(授权服务器问题)
Intereting Posts
思科ASA 8.4端口转发站点到站点VPN Windows SBS 2008问题 绑定MySQL从公共或私有LAN IP地址运行 – 哪个更快 如何防止浏览器访问js和css目录? Nginx内部重写位置以提供静态内容 如何更新活动目录中的所有职位? recursionDNS服务器集群可能有1个IP地址吗? RD会话主机2012R2通过GP设置的会话设置不会反映在QuickSessionCollection属性中 快速,可靠的数据传输到中国 Apache2 foward代理无法连接到https站点 允许覆盖smb共享上打开的文件 通过SSH和Linux Live进行networking服务器备份 如果我删除它,DNS正向查找区域会重新创build吗? ssh会话在闲置三小时后死亡 衡量对文件的访问 – apache

terminal服务2008年 – 错误4105(授权服务器问题)

以下是服务器上的故事:

  • Server 2008 Standard作为Server 2003域中的成员服务器运行
  • 为需要使用RemoteApp访问POS应用程序的5个用户运行terminal服务
  • 运行它自己的许可服务器:
    • 5 TS每用户CAL安装
    • “configuration审查”给了我一个图示,抱怨许可服务器没有安装在DC上。
    • 服务器是AD中“terminal服务器许可证服务器”组的成员
    • 虽然用户可以login,但似乎并没有发放许可证。

用户login时收到以下错误:

terminal服务许可证服务器无法更新Active Directory域“[域名称]”中用户“[用户名]”的许可证属性。 确保许可证服务器的计算机帐户是Active Directory域“[domainname]”中terminal服务器许可证服务器组的成员。 如果许可证服务器安装在域控制器上,则networking服务帐户也需要是“terminal服务器许可证服务器”组的成员。 如果许可证服务器安装在域控制器上,则在将相应的帐户添加到“terminal服务器许可证服务器”组后,必须重新启动terminal服务授权服务,以跟踪或报告“TS每用户CAL”的使用情况。 Win32错误代码:0x80070005

这似乎是造成RemoteApp用户的一些问题。 会议似乎断开,然后在他们的系统上留下一个完全黑屏。 他们无法closures黑屏 – 我必须使用terminal服务pipe理器远程登出。 这也迫使他们在显示用户login到terminal服务器时显示的“显示详细信息”窗口中加载RemoteApp(这很难描述 – 如果有人需要,我会抓取一个截图)。

我已经阅读了这个线程和technet上的这个线程 ,并指出以下安全密钥:

  • msTSExpireDate
  • msTSLicenseVersion
  • msTSManagingLS

我已经search了很多,find这些密钥,以便授权服务器可以充分授权用户,但我无法find任何地方。 我正在为我的用户帐户select我的OU,并尝试更改那里的安全性,但找不到要更改的密钥。

这个域从Server 2000升级到Server 2003,所以这可能是为什么键不在那里。 有几个人提到从Server 2008机器上做adprep来为用户写正确的安全密钥,但是这会对现有的Server 2003域控制器造成问题吗? 我不打算将我的域控制器升级到Server 2008,直到今年晚些时候。

有谁知道我可以如何将安全密钥手动添加到使用此terminal服务器的5个用户? 还有什么我可以做的,以解决这个问题?

谢谢!

编辑:我特别想知道如果从服务器2003域服务器2008年成员服务器运行adprep将解决此问题或导致其他问题。 有没有人有任何见解?

根据这个链接和这个链接 ,你提到的属性是在Windows Server 2008中首次引入的; 所以,是的,将AD架构升级到2008级应该可以解决您的问题。

这是一个完全安全的操作,即使你不打算在任何时间快速添加任何2008年的DC到域名。 只要确保所有数据中心都处于联机状态,复制工作正常,拥有架构主机angular色的数据中心就可以访问,并且您拥有企业pipe理员和架构pipe理员权限。

顺便说一下,您应该在您现有的2003域控制器之一上运行ADPREP,而不是在2008成员服务器上运行。

adprep,架构更新等不会解决你的问题,我认为。 升级架构是不可能的,因为如果新的dcs进来,你也必须这样做。

在我的情况下,我有原生2008 R2,肯定从2000年移植到2003年,到2008年R2,还有2008年,在2008年R2。

但效果相同。 在真实环境中没有看到任何问题,但也可以将这些信息logging在TS许可证服务器上。

因此,如果您在基础结构中查看的更深入,则会看到 – 新build立的用户帐户 – 您的某些帐户具有几个msTS属性。

实际上,我发现具有缺失属性的组织单位中的所有用户帐户都在相同的组中。 相同的OU。 所以我认为,这个问题发生在自创的组织单位,如果存在一个问题,如缺less可inheritance的权利设置,缺less安全设置。

即时testing这一个。

我想对大家说:

您的系统在这个错误环境中没有被更新,adprep,schemaprep等查看您的用户对象的安全设置。

mathiasrühn – kopyczynski

添加:解决scheme是授予缺less三个msTS属性的用户对象的安全权限:READ和terminal许可证服务器组的“写入terminal服务器许可证服务器”。

如果通过远程桌面或Citrix再次login,则在特定用户上创build三个属性并填充信息。

在我的一个基础设施中也有新创造的问题。 我不得不在第二层手动做这个设置。

您提到的“安全密钥”似乎是LDAP属性(我个人不熟悉这些属性,但它们遵循标准的命名约定),因此您需要使用adsiedit.msc(可在Windows Server 2003 Resource Kit )得到他们。

通过adprep进行模式升级是一个好主意。 除了带来这些属性之外,它还会在您进入2008年的DC之前为这个新的模式带来铺垫。 正如Massimo所说,这是一个安全的操作,但要确保在做AD之前有一个可行的AD备份(并且知道可以从中恢复!),以免发生电源故障或发生其他恶意事件部分通过。

除了架构升级外,您是否在任何时间将TS机箱移至新的OU? 当您这样做时,几个MS服务会变得不快乐,并且 – 如果您没有重新启动服务或重新启动服务器,可能会导致不稳定的行为。 在计算机移动操作之后,我认为重新启动与AD交互的服务是一种很好的做法。