Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Stellen Sie bei Verwendung mehrerer Remotedesktop-Lizenzserver nach dem Anwenden des Sicherheitsupdates für CVE-2024-38231 sicher, dass die Server ordnungsgemäß miteinander kommunizieren können. Es ist wichtig, dass RD-Lizenzserver in den folgenden Szenarien miteinander kommunizieren können:
- Eine Lizenz wird an einen RD-Lizenzserver zurückgegeben, der sie nicht ausgegeben hat.
- Die automatische Lizenzserversuche (ein Mechanismus, der ab Windows Server 2008 R2 eingestellt wurde) wird weiterhin in einer Remotedesktopbereitstellung verwendet.
In Arbeitsgruppen eingebundene Bereitstellung
In Arbeitsgruppen eingebundene Remotedesktopbereitstellungen sind für kleine Bereitstellungen vorgesehen. Es wird nicht empfohlen, mehrere RD-Lizenzserver in Remotedesktopbereitstellungen zu verwenden, die in Arbeitsgruppen eingebunden sind.
Wichtig
Die Unterstützung mehrerer Lizenzserver in Arbeitsgruppen wird möglicherweise in einer künftigen Version von Windows entfernt.
Wenn Sie mehrere RD-Lizenzserver in der gleichen Arbeitsgruppe verwenden möchten, stellen Sie sicher, dass sich alle Lizenzserver gegenseitig authentifizieren können und dass sie einander als Lizenzserver erkennen.
Sicherstellen der Lizenzserverauthentifizierung
Als Beispiel betrachten wir zwei Lizenzserver namens LICSVR1 und LICSVR2.
Um sicherzustellen, dass sich LICSVR1 bei LICSVR2 authentifizieren kann, müssen Sie entscheiden, welches Konto LICSVR1 für die Verbindung mit LICSVR2 verwenden soll. Es wird empfohlen, wie folgt ein dediziertes Benutzerkonto für LICSVR2 zu erstellen:
Stellen Sie unter Verwendung eines Administratorkontos eine Verbindung mit LICSVR2 her. Wenn Sie den Vorgang remote ausführen, müssen Sie möglicherweise die Anwendung Remotedesktopverbindung mit dem Befehl mstsc.exe /admin starten, falls der Zielcomputer keinen RD-Lizenzserver kontaktieren kann.
Klicken Sie nach Herstellung der Verbindung mit der rechten Maustaste auf Start, wählen Sie Ausführen aus, und geben Sie lusrmgr.msc ein. Betätigen Sie anschließend die EINGABETASTE.
Wählen Sie im linken Bereich die Option Benutzer aus.
Öffnen Sie das Menü Aktion, und wählen Sie Neuer Benutzer... aus.
Wählen Sie einen Benutzernamen und ein eindeutiges sicheres Kennwort für den Benutzer. Bestätigen Sie dann das Kennwort.
Deaktivieren Sie das Kontrollkästchen „Benutzer muss Kennwort bei der nächsten Anmeldung ändern“.
Klicken Sie auf Erstellen.
Fügen Sie dann auf LICSVR1 den Benutzer und dessen Anmeldeinformationen hinzu, damit sich das Konto NT AUTHORITY\NETWORK SERVICE bei LICSVR2 authentifizieren kann. Gehen Sie dazu wie folgt vor:
Mit LICSVR1 verbinden. Wenn Sie den Vorgang remote ausführen, müssen Sie möglicherweise die Anwendung „Remotedesktopverbindung“ mit dem Befehl mstsc.exe /admin starten, falls der Zielcomputer keinen RD-Lizenzserver kontaktieren kann.
Starten Sie eine Eingabeaufforderung als NT AUTHORITY\NETWORK SERVICE. Hierfür können Sie PsExec aus den Sysinternals-Dienstprogrammen verwenden, indem Sie den folgenden Befehl als Administrator ausführen:
psexec.exe -i -u "NT AUTHORITY\NETWORK SERVICE" cmd.exeFügen Sie dann dem Hostcomputer mit dem folgenden Befehl einen Benutzernamen und ein Kennwort hinzu:
cmdkey /add:LICSVR2 /user:LICSVR2\<USERNAME> /passDabei ist <USERNAME> der Name des Benutzers, den LICSVR1 zur Authentifizierung bei LICSVR2 verwenden soll.
Wenn Sie zur Eingabe des Kennworts aufgefordert werden, geben Sie das Kennwort dieses Benutzers ein.
LICSVR1 sollte sich jetzt bei LICSVR2 authentifizieren können. Damit LICSVR1 von LICSVR2 als weiterer Lizenzserver erkannt wird, müssen Sie den Benutzer zu einer lokalen Gruppe auf LICSV2 hinzufügen und diese lokale Gruppe beim RD-Lizenzierungsdienst registrieren. Führen Sie als Administrator auf LICSVR2 den folgenden Befehl in PowerShell aus:
New-LocalGroup -Name <GROUP-NAME>
Add-LocalGroupMember -Group <GROUP-NAME> -Member "LICSVR2\<USERNAME>"
Dabei ist <GROUP-NAME> der gewünschte Name für die Gruppe und <USERNAME> der Name des Benutzers, dessen Anmeldeinformationen auf LICSVR1 registriert sind.
Führen Sie den folgenden PowerShell-Befehl aus, um diese lokale Gruppe beim RD-Lizenzierungsdienst in der Registrierung zu registrieren:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\TermServLicensing\Parameters" -Name " WorkgroupLicenseServerAccountsGroup" -Value "LICSVR2\<GROUP-NAME>" -Type String
In die Domäne eingebundene Bereitstellung
Damit in die Domäne eingebundene RD-Lizenzserver ordnungsgemäß miteinander kommunizieren können, muss ihnen bekannt sein, dass Kommunikation von einem anderen RD-Lizenzserver eingeht. Dies kann mithilfe eines der drei in diesem Abschnitt beschriebenen Verfahren erreicht werden.
Ein Domänenadministrator kann jeden RD-Lizenzserver mithilfe der PublishLS-WMI-Methode der Win32_TSLicenseServer-Klasse in Active Directory Domain Services (AD DS) veröffentlichen. Dadurch wird ein Datensatz auf Standortebene in AD DS erstellt, mit dem die Kommunikation zwischen RD-Lizenzservern autorisiert werden kann. Führen Sie als Domänenadministrator auf einem Lizenzserver den folgenden Befehl in PowerShell aus:
Invoke-WmiMethod -Class Win32_TSLicenseServer -Name PublishLSAlternativ kann jeder RD-Lizenzserver so konfiguriert werden, dass er die Kommunikation von einer bestimmten Gruppe von RD-Lizenzservern autorisiert. Hierfür wird die Gruppenrichtlinie Angegebene Remotedesktop-Lizenzserver verwenden konfiguriert. Diese Gruppenrichtlinie wird unter Lizenzieren von Remotedesktop-Sitzungshosts ausführlicher beschrieben. Es kann auch der folgende Registrierungswert festgelegt werden, um Lizenzserver anzugeben. Führen Sie als Administrator auf einem RD-Lizenzserver den folgenden Befehl in PowerShell aus:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\TermServLicensing\Parameters" -Name " SpecifiedLicenseServers" -Value "<LicSrv1DnsHostName>","<LicSrv2DnsHostName>" -Type MultiStringDabei sind <LicSrv1DnsHostName> und <LicSrv2DnsHostName> die DNS-Hostnamen der anderen RD-Lizenzserver.
Aus historischen Gründen erfordern RD-Lizenzierungsdienste, die auf Active Directory-Domänencontrollern ausgeführt werden, keine zusätzliche Konfiguration.
Wichtig
Wir raten dringend davon ab, den RD-Lizenzierungsserver auf Domänencontrollern zu installieren. Dieses Vorgehen erfolgt auf eigene Verantwortung. Gemäß den bewährten Methoden für die Active Directory-Sicherheit sollten Domänencontroller als kritische Infrastrukturkomponenten behandelt werden und die Menge an nicht relevanter Software minimieren, die sie ausführen. Weitere Informationen finden Sie unter Schützen von Domänencontrollern.