Single-Sign-on (SSO) für Terminal-Server 2012 (R2) konfigurieren

    Sign-Sign-on über den RDP-ClientAuch wenn man von einem PC, der Mitglied in einer Windows-Domäne ist, auf einen RD Session Host zugreifen möchte, dann muss man stan­dard­mäßig seine Anmeldedaten erneut eingeben. Dieses Verhalten lässt sich mit RDP-8-Clients und Windows Server 2012 (R2) wesentlich einfacher ändern als in der Vergangenheit.

    In den allermeisten Fällen melden sich Benutzer unter jener Kennung an einem Session Host an, mit der sie sich bereits für die Arbeit am lokalen Rechner an der Domäne authentifiziert haben. Entsprechend empfinden sie es als störend, wenn sie die gleichen Anmeldedaten für eine Terminal-Session erneut eingeben müssen.

    Voraussetzungen für Single-Sign-on

    Grundsätzlich unterstützt Microsoft das SSO für die Terminaldienste bereits seit Vista und Server 2008. Die dort notwendige Protokollkonfiguration auf jedem Session Host ist in den neuen Ausführungen des Systems jedoch nicht mehr erforderlich. Damit vereinfacht sich die Einrichtung dieses Features, aber einige bekannte Limits bestehen weiterhin.

    Insgesamt gelten für hier beschriebene SSO-Konfiguration folgende Voraussetzungen und Einschränkungen:

    • Der Connection Broker und alle Session Hosts innerhalb des Deployments müssen mindestens unter Server 2012 laufen
    • Die Clients benötigen RDP 8.0
    • SSO ist nur mit Konten aus einer AD-Domäne möglich
    • Ein Single-Sign-on funktioniert nur bei einer Authentifizierung über Passwort, Smartcards werden nicht unterstützt.

    Vorkonfiguriertes SSO in RD Web Access

    Am einfachsten erlangt man unter Windows Server 2012 ein Single-Sign-on mittels RD Web Access, weil es keine separate Konfiguration erfordert. Zwar muss man sich auch dort eigens über das HTML-Formular anmelden, weil ja auch der Zugang von beliebigen Clients außerhalb der Domäne möglich ist. Danach lassen sich aber alle Desktops und RemoteApp über die Web-Seite ohne weitere Eingabe von Kennwörtern starten.

    Konfiguration des RDP-Clients über GPO

    Innerhalb des Firmennetzes wird man Anwendungen und Desktops in der Regel nicht über RD Web Access starten, sondern entweder direkt über den RDP-Client oder über Icons, die man mit dem Webfeed zum Startmenü bzw. zur Startseite von Windows 8.x hinzufügt. Auf Touch-Geräten dient die Remotedesktop-App als zentrale Schaltstelle, die ebenfalls über den Webfeed konfiguriert werden kann.

    Um bei diesem gängigen Szenario auf eine redundante Anmeldung zu verzichten, muss man die Client-PCs über eine Gruppenrichtlinie konfigurieren. Die zuständige Einstellung Delegierung von Standardanmeldeinformationen zulassen findet sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => System => Delegierung von Anmeldeinformationen.

    Im Gruppenrichtlinienobjekt kann man alle Server hinterlegen, an die Anmeldedaten durchgereicht werden sollen.

    Wenn man sie aktiviert, dann muss man den Namen des RD Connection Broker oder einer Session-Host-Farm eingeben, für die ein SSO möglich sein soll. Gefragt ist hier eine Kombination aus TERMSRV/ und FQDN, also zum Beispiel TERMSRV/broker.contoso.com. Die Richtlinie lässt die Eingabe von beliebig vielen Hosts zu, wobei man das Eintippen einer langen Liste von Namen durch die Verwendung von Wildcards abkürzen kann. So würde TERMSRV/*.contoso.com alle Session Hosts der Domäne contoso.com zulassen.

    Wenn man den RDP-Client nach der Ausführung des GPO startet, dann blendet er die Eingabefelder für Benutzername und Passwort aus, sobald man einen Hostnamen eingibt, der in der Server-Liste des GPO enthalten ist. Möchte man sich jedoch unter einer anderen Kennung anmelden, dann klickt man auf Optionen einblenden und aktiviert die Checkbox Immer Anmeldeinformationen anfordern.

    Die automatische Anmeldung an einem Session Host kann man durch die Konfiguration des RDP-Clients umgehen.

    Eine zentrale Konfiguration von SSO beeinflusst auch RD Web Access, wenn man es auf einem PC nutzt, der die genannte Gruppenrichtlinie ausführt. In diesem Fall kann man sich zwar im HTML-Formular unter einer beliebigen Kennung authentifizieren, aber anschließend starten Sessions auf dem Terminal-Server unter dem Namen des Benutzers, der am lokalen Rechner angemeldet ist.

    SSO über RD Gateway

    Die bisherige Beschreibung ging davon aus, dass man sich im Firmennetzwerk mit RD Web Access, einem Connection Broker oder einer TS-Farm verbindet. Benutzer, die von außerhalb auf Terminal-Server zugreifen, tun dies meistens über ein RD Gateway.

    Auch das RD Gateway lässt sich einfach für SSO konfigurieren.

    Auch diese Komponente einer Remotedesktop-Bereitstellung lässt sich unter Windows Server 2012 (R2) einfach für SSO konfigurieren. Zu diesem Zweck öffnet man im Server Manager die Übersichtsseite der Remotedesktopdienste und führt neben Bereitstellungsübersicht im Menü Aufgaben den Befehl Bereitstellungseigenschaften bearbeiten aus. In den Einstellungen für Remotedesktopgateway muss die Option RD-Gatewayanmeldeinformationen für Remotecomputer verwenden aktiviert sein.

    4 Kommentare

    Bild von david
    david sagt:
    2. April 2014 - 16:05

    I have a question, I have configured the WEBFEED into a Windows7 VDI Machine.
    But when i start a RemoteApp I'm asked for credentials.
    How to avoid it?

    Bild von CPU
    CPU sagt:
    22. Mai 2014 - 18:33

    Die Hinweise haben mir weitergeholfen. Meine Hochachtung für den nützlichen Beitrag. Mit dem Terminal Server habe ich so meine Schwierigkeiten.

    Bild von Irish
    Irish sagt:
    5. Februar 2015 - 16:30

    Hallo,
    ich bin auch auf der Suche nach einer Lösung für unser Problem. Denn genaus das hier:
    Zitat:"Vorkonfiguriertes SSO in RD Web Access
    Am einfachsten erlangt man unter Windows Server 2012 ein Single-Sign-on mittels RD Web Access, weil es keine separate Konfiguration erfordert. Zwar muss man sich auch dort eigens über das HTML-Formular anmelden, weil ja auch der Zugang von beliebigen Clients außerhalb der Domäne möglich ist. Danach lassen sich aber alle Desktops und RemoteApp über die Web-Seite ohne weitere Eingabe von Kennwörtern starten."
    funktioniert bei uns nicht. Wir müssen uns nach dem Aufruf der RemoteApp nochmals mittels einer Windows Anmeldung authentifizieren.
    Ich weiss nicht mehr, wo ich noch suchen soll.....
    Hat jemand eine Idee?

    Bild von Kevin Brandenstein
    Kevin Brandenstein sagt:
    25. Februar 2015 - 14:33

    Ich habe gerade eine Win2012R2 Farm mit 2 RDS-Sitzungshosts installiert, von denen einer noch die Web- und Brokerrolle inne hat. Externer Zugriff ist im Moment noch kein Thema.

    Ich habe SSO für die Farm mittlerweile hinbekommen, wenn man sich mit RDP-Client anmeldet, DNS für die Farm erstellt, beide Server auf den Namen eingetragen, Zertifikat erstellt und auf beiden Servern publiziert. Funktioniert wunderbar.

    Allerdings habe ich, wenn ich die Remote-App-Funktion eines z.B. Win7-Clients nutzen will das Thema, dass er bei der Einrichtung einmalig Benutzernamen und Kennwort hinterlegen muss und dies speichern kann.

    Gibt es auch irgendeine SSO-Möglichkeit für diesen Punkt? Also nicht über die Webseite, sondern über den https://farmfqdn/RDWeb/Feed/webfeed.aspx Weg?