Вот краткое изложение сервера:
Когда пользователи входят в систему, я получаю следующую ошибку:
Сервер лицензий служб терминалов не может обновить атрибуты лицензии для пользователя «[имя пользователя]» в домене Active Directory «[имя домена]». Убедитесь, что учетная запись компьютера для сервера лицензий является членом группы серверов лицензий сервера терминалов в домене Active Directory «[имя домена]». Если сервер лицензий установлен на контроллере домена, учетная запись сетевой службы также должна быть членом группы серверов лицензий сервера терминалов. Если сервер лицензий установлен на контроллере домена, после добавления соответствующих учетных записей в группу серверов лицензий сервера терминалов необходимо перезапустить службу лицензирования служб терминалов, чтобы отслеживать или сообщать об использовании клиентских лицензий TS на пользователя. Код ошибки Win32: 0x80070005
Похоже, это вызывает некоторые проблемы с пользователями RemoteApp. Кажется, что сеанс отключается, а затем в их системе остается полностью черный экран. Они не могут закрыть черный экран - мне приходится удаленно отключать их с помощью диспетчера служб терминалов. Это также заставляет их загружать RemoteApp в окне «Показать подробности», которое показывает, когда пользователь входит в терминальный сервер (это трудно описать - я сделаю снимок экрана, если он кому-то понадобится).
я прочел эта тема и вот этот на technet, и оба указывают на следующие ключи безопасности:
Я искал все выше и ниже, чтобы найти эти ключи, чтобы сервер лицензирования мог адекватно лицензировать пользователей, но я нигде не могу их найти. Я выбираю свое подразделение для своих учетных записей пользователей и пытаюсь изменить там безопасность, но не могу найти ключи, которые нужно изменить.
Этот домен был обновлен до Server 2003 с Server 2000, поэтому, возможно, ключей там нет. Несколько человек упомянули выполнение adprep с компьютера Server 2008 для записи правильных ключей безопасности для пользователей, но вызовет ли это проблемы с моими существующими контроллерами домена Server 2003? Я не планирую обновлять контроллеры домена до Server 2008 позднее в этом году.
Кто-нибудь знает, как я могу вручную добавить ключи безопасности 5 пользователям, использующим этот терминальный сервер? Что еще я могу сделать, чтобы это исправить?
Спасибо!
РЕДАКТИРОВАТЬ: я специально хотел бы знать, запущен ли adprep с сервера 2008 ЧЛЕНСКИЙ СЕРВЕР в домене Server 2003 исправит это или вызовет другие проблемы. У кого-нибудь есть понимание?
Я думаю, что adprep, обновление схемы и т. д. не решат вашу проблему. Обновление схемы не является проблемой, потому что вам придется сделать это также, если появятся новые DC.
в моем случае у меня есть родной 2008 r2, конечно, перенесенный с 2000 на 2003, на 2008 R2, а также 2008 r2 ts, ts lic, все nazive в 2008 r2.
но эффект тот же. не вижу никаких проблем в реальной среде, но также регистрируя эту информацию на сервере лицензий ts.
поэтому, если вы посмотрите глубже в свою инфраструктуру, вы увидите, что - недавно созданная учетная запись пользователя - некоторые из ваших учетных записей действительно имеют несколько атрибутов msTS.
На самом деле я вижу, что все учетные записи пользователей в организационных единицах с отсутствующими атрибутами находятся в одних и тех же группах. То же OU. поэтому я думаю, что эта проблема возникает в самостоятельно созданных организационных подразделениях, где существует одна проблема, например, отсутствует параметр наследуемых прав, отсутствует параметр безопасности.
Я тестирую это сейчас.
что я хочу сказать всем:
ваша система в этой ошибочной среде не должна обновляться, adprep, schemaprep и т. д. просмотрите настройки безопасности на ваших объектах пользователя.
Матиас Рюн - Копычинский
add on: решение заключалось в предоставлении прав безопасности для пользовательских объектов, у которых отсутствуют три атрибута msTS: READ и «WRITE Terminal Server license server» для группы терминал-лицензионный сервер.
если вы снова войдете в систему через удаленный рабочий стол или Citrix, три атрибута будут созданы для конкретного пользователя и заполнены информацией.
также недавно созданный ous имел проблему в одной из моих инфраструктур. Мне пришлось вручную сделать эту настройку на втором уровне.
Упомянутые вами «ключи безопасности» выглядят как атрибуты LDAP (я лично не знаком с ними, но они следуют стандартному соглашению об именах), поэтому вам нужно использовать adsiedit.msc (доступный в Комплект ресурсов Windows Server 2003) чтобы добраться до них.
Обновление схемы с помощью adprep - хорошая идея. Помимо этих атрибутов, это даст новой схеме период внедрения, прежде чем вы перейдете на DC 2008 года. Так как Массимо сказал, что это безопасная операция, но убедитесь, что у вас есть жизнеспособная резервная копия вашего AD, прежде чем делать это (а также что вы знаете, что вы можете восстановить из нее!) на случай, если произойдет сбой питания или произойдет что-то еще неприятное. путь через.
Помимо обновления схемы - переместили ли вы блок TS в новое подразделение в какой-либо момент времени? Некоторые службы MS становятся недовольными, когда вы это делаете, и - если вы не перезапускали службы или не перезагружали компьютер - могут давать неустойчивое поведение. Я считаю хорошей практикой перезапускать любые службы, которые взаимодействуют с AD после операции перемещения компьютера.
В соответствии с эта ссылка и вот этот, упомянутые вами атрибуты впервые появились в Windows Server 2008; Итак, да, обновление схемы AD до уровня 2008 должно решить вашу проблему.
Это полностью безопасная операция, даже если вы не планируете в ближайшее время добавлять в домен какой-либо DC 2008 года. Просто убедитесь, что все ваши контроллеры домена подключены к сети, репликация работает правильно, контроллер домена с ролью мастера схемы доступен и у вас есть права администратора предприятия и администратора схемы.
Кстати, вы должны запустить ADPREP на одном из ваших существующих контроллеров домена 2003, а не на рядовом сервере 2008 года.