Säkerhetsgruppkonfiguration för TS-webbåtkomstdatorer

Microsoft.Windows.Server.10.0.RemoteDesktopServices.NewUnitMonitor_26 (UnitMonitor)

Det här objektet övervakar konfigurationen av säkerhetsgruppen för TS-webbåtkomstdatorer.

Knowledge Base article:

Sammanfattning

Hantering av RemoteApp- och fjärrskrivbordsanslutning använder säkerhetsgruppen för TS-webbåtkomst på servern för anslutningsutjämning för att hantera åtkomst för dem som kan kommunicera med tjänsten. Det måste finnas en grupp för TS-webbåtkomst till datorerna och gruppen måste bestå av lämpliga medlemmar.

Lösningar

Lös problemet genom att kontrollera händelse-ID och granska felsökningsinformationen för händelsen i avsnitten nedan.

Stegvisa instruktioner för möjliga lösningar vid händelse-ID: 1006

Skapa en säkerhetsgrupp för TS-webbåtkomst till datorer

Det måste finnas en säkerhetsgrupp för TS-webbåtkomst till datorer på fjärrservern för anslutningsutjämning.

För att utföra dessa procedurer måste du vara medlem i administratörsgruppen, eller delegerats motsvarande behörighet.

Obs! När du skapar en säkerhetsgrupp för TS-webbåtkomst på en domänkontrollant bör du använda proceduren med följande rubrik: Skapa säkerhetsgrupp för TS-webbåtkomst till datorer vid användning av domänkontrollant.

Gör så här för att skapa en säkerhetsgrupp för TS-webbåtkomst till datorer på fjärrservern för anslutningsutjämning.

1. Öppna Serverhanteraren på värdservern för anslutningsutjämning till fjärrskrivbord. Starta Serverhanteraren genom att klicka på Start, peka på Administrationsverktyg, och klicka därefter på Serverhanteraren.

2. Expandera Konfiguration, expandera Lokala användare och grupper och klicka sedan på Grupper.

3. Högerklicka på Grupper och klicka sedan på Ny grupp.

4. Öppna dialogrutan Gruppnamn och skriv TS Web Access Computers i rutan.

5. Klicka på Lägg till för att lägga till lämpliga medlemmar, och klicka sedan på Skapa.

6. Klicka på Stäng.

Om du behöver skapa en säkerhetsgrupp för TS-webbåtkomst på en domänkontrollant måste du skapa gruppen med hjälp av Active Directory – användare och datorer.

Gör så här för att skapa en säkerhetsgrupp för TS-webbåtkomst till datorer när du använder domänkontrollant:

1. Klicka på Start på domänkontrollanten, peka på Administrationsverktyg och klicka sedan på Active Directory-användare och -datorer.

2. Högerklicka på Inbyggd, peka på Ny och sedan på Grupp.

3. Öppna dialogrutan Gruppnamn och skriv in Datorer för TS via webben, och klicka sedan på OK.

4. Stäng Active Directory – användare och datorer.

Stegvisa instruktioner för möjliga lösningar vid händelse-ID: 1007

Problemet löses på följande sätt: Du måste lägga till en webbåtkomstserver i gruppen Datorer för TS via webben på fjärrservern för anslutningsutjämning.

Du måste vara medlem i den lokala gruppen Administratörer eller ha tilldelats motsvarande behörighet för att utföra den här proceduren.

Gör så här för att lägga till en server för webbåtkomst i gruppen Datorer för TS-åtkomst via webben på servern för anslutningsutjämning till fjärrskrivbord.

2. Expandera Konfiguration, expandera Lokala användare och grupper och klicka sedan på Grupper.

3. Högerklicka på Datorer för TS-åtkomst via webben och klicka sedan på Lägg till i grupp.

4. Klicka på Lägg till.

5. Klicka på Objekttyper, markera kryssrutan Datorer och klicka sedan på OK.

6. I rutan Ange de objektnamn som ska väljas skriver du namnet på servern för webbåtkomst till fjärrskrivbord. Klicka sedan på OK.

7. Klicka på OK för att stänga dialogrutan Datorer för TS-åtkomst via webben.

Gör följande om detta inte löser problemet och du använder ett icke-Microsoft-program: Försäkra dig om att inloggningsuppgifterna i programmet som används vid anrop till fjärrdatorn tillhör medlemmar i gruppen Datorer för TS-åtkomst via webben på servern för anslutningsutjämning för fjärrskrivbord.

Stegvisa instruktioner för möjliga lösningar vid händelse-ID: 1010

Lös problemet med en eller båda av följande metoder:

Lägg till ett konto för anslutningsutjämning vid fjärrskrivbord i gruppen Datorer för TS-åtkomst via webben på värdservern för fjärrskrivbordssession.
Ändra DCOM-behörigheter på värdservern för fjärrskrivbordssessionen.
Ändra säkerhetsinställningar i WMI-tjänsten (Windows Management Instrumentation) på värdservern för fjärrskrivbordssessionen.

För att utföra dessa procedurer måste du vara medlem i administratörsgruppen, eller delegerats motsvarande behörighet.

Lägg till ett konto för anslutningsutjämning vid fjärrskrivbord i gruppen Datorer för TS-åtkomst via webben på värdservern för fjärrskrivbordssession.

Du kan ändra medlemskap i gruppen Datorer för TS-åtkomst via webben via Serverhanteraren.

Gör så här för att lägga till ett konto för anslutningsutjämning vid fjärrskrivbord i gruppen Datorer för TS-åtkomst via webben på värdservern för fjärrskrivbordssession:

1. Öppna Serverhanteraren på värdservern för fjärrskrivbordssessionen. Starta Serverhanteraren genom att klicka på Start, peka på Administrationsverktyg, och klicka därefter på Serverhanteraren.

2. Expandera Konfiguration, expandera Lokala användare och grupper och klicka sedan på Grupper.

3. Högerklicka på Datorer för TS-åtkomst via webben och klicka sedan på Lägg till i grupp.

4. Klicka på Lägg till.

5. Klicka på Objekttyper, markera kryssrutan Datorer och klicka sedan på OK.

6. I rutan Ange de objektnamn som ska väljas skriver du in namnet på servern för webbåtkomst till fjärrskrivbord. Klicka sedan på OK.

7. Klicka på OK för att stänga dialogrutan Datorer för TS-åtkomst via webben.

Ändra DCOM-behörigheter på värdservern för fjärrskrivbordssessionen

Du kan ändra DCOM-behörigheter på värdservern för fjärrskrivbordssessionen via konsolen Komponenttjänster.

Gör så här för att ändra DCOM-behörigheter på värdservern för fjärrskrivbordssessionen:

1. Öppna konsolen Komponenttjänster på värdservern för fjärrskrivbordssessionen. Öppna konsolen Komponenttjänster genom att klicka på Start, peka på Administrationsverktyg och klicka sedan på Komponenttjänster.

2. Expandera Komponenttjänster, högerklicka på Min dator och klicka därefter på Egenskaper.

3. Klicka på fliken COM-Säkerhet.

4. Öppna Åtkomstbehörigheter och klicka på Redigera gränser.

5. Klicka på Lägg till.

6. Klicka på Objekttyper, markera kryssrutan Datorer och klicka på OK.

7. I rutan Ange de objektnamn som ska väljas skriver du in Datorer för TS-åtkomst via webben. Klicka sedan på OK.

8. Klicka på kryssrutanFjärråtkomst i kolumnen Tillåt och klicka sedan på OK.

9. Gå till Behörigheter att starta och aktivera och klicka på Redigera gränser.

10. Klicka på Lägg till.

11. Klicka på Objekttyper, markera kryssrutan Datorer och klicka på OK.

12. I rutan Ange de objektnamn som ska väljas skriver du in Datorer för TS-åtkomst via webben. Klicka sedan på OK.

13. Klicka på kryssrutorna Fjärrstart, Lokal aktivering och Fjärraktivering i kolumnen Tillåt och klicka sedan på OK.

14. Klicka på OK för att stänga dialogrutan Min dator.

Ändra DCOM-behörigheter på värdservern för fjärrskrivbordssessionen

Du måste ändra WMI-inställningar med hjälp av konsolen WmiMgmt och tillåta att WMI-anrop passerar Windows-brandväggen på värdservern för fjärrskrivbordssessionen.

Gör så här för att ändra DCOM-behörigheter på värdservern för fjärrskrivbordssessionen:

1. Klicka på Start på värdservern för fjärrskrivbordsessionen och klicka sedan på Kör.

2. Skriv wmimgmt.msc och klicka sedan på OK.

3. Högerklicka på WMI-kontroll och klicka därefter på Egenskaper.

4. Klicka på fliken Säkerhet.

5. Navigera till Root\CIMV2\TerminalServices.

6. Klicka på Säkerhet och sedan på Lägg till.

7. Klicka på Objekttyper, markera kryssrutan Datorer och klicka på OK.

8. I rutan Ange de objektnamn som ska väljas skriver du TS Web Access Computers. Klicka sedan på OK.

9. Klicka på kryssrutorna Köra metoder, Aktivera konto och Fjärraktivering i kolumnen Tillåt och klicka sedan på OK.

10. Klicka på OK för att stänga dialogrutan WMI-kontroll.

11. Stäng wmimgmt-konsolen.

Du kan tillåta att WMI-anrop passerar Windows-brandväggen genom att använda konsolen för Windows-brandväggen.

Gör så här för att tillåta WMI-anrop genom Windows-brandväggen:

1. Öppna konsolen Windows-brandväggen för tjänster på värdservern för fjärrskrivbordssessionen. Öppna konsolen Windows-brandväggen genom att klicka på Start, klicka på Kontrollpanelen, gå sedan till rubriken under System och säkerhet och klicka på Kontrollera brandväggens status.

2. Klicka på Tillåt att ett program eller en funktion passerar Windows-brandväggen.

3. Markera kryssrutan intill WMI (Windows Management Instrumentation) och klicka sedan på OK.

4. Stäng konsolen Windows-brandväggen.

Element properties:

Target

Microsoft.Windows.Server.10.0.RemoteDesktopServicesRole.Service.RDConnectionBroker

Parent Monitor

System.Health.ConfigurationState

Category

Custom

Enabled

True

Alert Generate

True

Alert Severity

MatchMonitorHealth

Alert Priority

High

Alert Auto Resolve

True

Monitor Type

Microsoft.Windows.2SingleEventLogManualReset3StateMonitorType

Remotable

True

Accessibility

Public

Alert Message

Avisering om säkerhetsgruppkonfiguration för TS-webbåtkomstdatorer

Händelse-ID: {0} -- Beskrivning: {1}

RunAs

Default

Source Code:

<UnitMonitor ID="Microsoft.Windows.Server.10.0.RemoteDesktopServices.NewUnitMonitor_26" Accessibility="Public" Enabled="true" Target="Microsoft.Windows.Server.10.0.RemoteDesktopServicesRole.Service.RDConnectionBroker" ParentMonitorID="SystemHealth!System.Health.ConfigurationState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.2SingleEventLogManualReset3StateMonitorType" ConfirmDelivery="true">

  <Category>Custom</Category>

  <AlertSettings AlertMessage="Microsoft.Windows.Server.10.0.RemoteDesktopServices.NewUnitMonitor_26_AlertMessageResourceID">

    <AlertOnState>Warning</AlertOnState>

    <AutoResolve>true</AutoResolve>

    <AlertPriority>High</AlertPriority>

    <AlertSeverity>MatchMonitorHealth</AlertSeverity>

    <AlertParameters>

      <AlertParameter1>$Data/Context/EventDisplayNumber$</AlertParameter1>

      <AlertParameter2>$Data/Context/EventDescription$</AlertParameter2>

    </AlertParameters>

  </AlertSettings>

  <OperationalStates>

    <OperationalState ID="UIGeneratedOpStateId74b9c3813e9c4e8883f42823a37e7112" MonitorTypeStateID="ManualResetEventRaised" HealthState="Success"/>

    <OperationalState ID="UIGeneratedOpStateId5c2cdc5241d54b88bf7fcfcac5459fa7" MonitorTypeStateID="SecondEventRaised" HealthState="Warning"/>

    <OperationalState ID="UIGeneratedOpStateIdd35204e2769a4a998123af3fbbab7608" MonitorTypeStateID="FirstEventRaised" HealthState="Error"/>

  </OperationalStates>

  <Configuration>

    <FirstComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</FirstComputerName>

    <FirstLogName>Microsoft-Windows-RemoteApp and Desktop Connection Management/Admin</FirstLogName>

    <FirstExpression>

      <And>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery Type="String">Channel</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value Type="String">Microsoft-Windows-RemoteApp and Desktop Connection Management/Admin</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value Type="UnsignedInteger">1006</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

      </And>

    </FirstExpression>

    <SecondComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</SecondComputerName>

    <SecondLogName>Microsoft-Windows-RemoteApp and Desktop Connection Management/Admin</SecondLogName>

    <SecondExpression>

      <And>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery Type="String">Channel</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value Type="String">Microsoft-Windows-RemoteApp and Desktop Connection Management/Admin</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

        <Expression>

          <Or>

            <Expression>

              <SimpleExpression>

                <ValueExpression>

                  <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

                </ValueExpression>

                <Operator>Equal</Operator>

                <ValueExpression>

                  <Value Type="UnsignedInteger">1007</Value>

                </ValueExpression>

              </SimpleExpression>

            </Expression>

            <Expression>

              <SimpleExpression>

                <ValueExpression>

                  <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

                </ValueExpression>

                <Operator>Equal</Operator>

                <ValueExpression>

                  <Value Type="UnsignedInteger">1010</Value>

                </ValueExpression>

              </SimpleExpression>

            </Expression>

          </Or>

        </Expression>

      </And>

    </SecondExpression>

  </Configuration>

</UnitMonitor>