Ferme TS 2008 et SSO

terminal-serveur
1

Bonjour,



Je viens de monter un lab TS 2008 avec un un accès TSweb.



Pour la mise ne place du “load balancing” MS, j’ai configuré un NLB avec le nom de la ferme…Et la ça me pose des problèmes de SSO.

Les credentials de la session locale sont bien transmis, mais la tentative de logon est refusée vu que le nom de ferme n’est pas vérifiée (au niveau AD)…



J’ai bien essayé en ajoutant le nom de ferme dans l’AD avec des SPN en plus. Sans succès et non documenté par MS.



Déja rencontré ce type de problèmes ?



Pierre

2

C’est un peu la merde, il faut un certificat particulier et mettre en place des GPO.



http://aidetse.free.fr/?p=332



De manière plus générale : http://aidetse.free.fr/?s=session+broker

3

Argh! il faut mettre des certifs



Bon je regarde le lien,



merci

4

Merci Max,



Effectivement avec la mise en place de certificats ça marche beaucoup mieux.



La vidéo sur le lien fourni ne fonctionnait pas mais l’essentiel y était. J’ai simplifié la procédure proposée et ça marche :

  • Installation d’un CA (Microsoft)
  • Installation du certificat CA sur tous les élements de la ferme (serveurs TS et client)
  • Demande/Installation d’un certificat serveur “Server Authentication Certificate” sur chaque serveur TS ( avec leur nom long) et reimporté dans le magazin server> personal
  • Et SURTOUT installation d’un certificat serveur portant le nom de la ferme sur tous les serveurs de la ferme (via export/import certificat)
  • Modification du protocole RDP pour utiliser le certificat portant le nom de la ferme



    J’avais précedemment activé le CredSSP sur les postes via GPO



    Avant de poster, j’avais cherché sur pas mal de sites Microsoft. Et strictement rien sur le sujet même quand les articles traitaient du load balancing via NLB…Bizarre.



    Ciao,



    PIerre
5

J’ai galère aussi lors de ma première install 2 mois après la sortie de windows 2008.



A noter qu’il faut appliquer un patch post XP-sp3 pour que le sso fonctionne…

C’est que je ne comprend pas microsoft, tout le monde (citrix, vmware, …) sait récupérer l’authentification locale pour la transmettre au serveur lors de la connexion sans avoir à mettre en place tout ce bazar :slight_smile: