RADIUS MFA-Anbieter hinzufügen

RADIUS MFA-Anbieter hinzufügen:

1. Navigieren Sie zu Site-Einstellungen > Verbindung > Multi-Faktor-Authentifizierung.

2. Klicken Sie auf das Plus-Symbol und wählen Sie dann den Anbieter aus, den Sie hinzufügen möchten.

3. Geben Sie Folgendes an:

   • Name: Name des Anbieters.

   • Beschreibung: Beschreibung des Anbieters.

   • Wählen Sie in der Tabelle Design die Designs aus, die diesen MFA-Anbieter verwenden sollen.

4. Klicken Sie auf Weiter.

5. Geben Sie Folgendes an:

   • Anzeigename: Geben Sie den Namen des Verbindungstyps ein, der auf dem Anmeldebildschirm auf dem Client angezeigt wird. Dies sollte der Name sein, den Ihre Benutzer eindeutig verstehen.

   • Primärer Server und Sekundärer Server: Mit diesem beiden Feldern können Sie angeben, ob in der Konfiguration ein oder zwei RADIUS-Server enthalten sein sollen. Wenn Sie zwei Server angeben, können Sie Hochverfügbarkeit für RADIUS-Hosts konfigurieren (siehe unten). Geben Sie einen Server ein, indem Sie seinen Hostnamen oder die IP-Adresse eingeben oder klicken Sie auf die Schaltfläche [...], um einen Server über Active Directory auszuwählen.

     Wenn zwei RADIUS-Server angegeben sind, wählen Sie aus der Dropdownliste HA-Modus einen der folgenden Hochverfügbarkeitsmodi aus. Aktiv-aktiv (parallel) bedeutet, dass der Befehl an beide Server zugleich geschickt wird. Es wird der verwendet, der zuerst antwortet. Aktiv-passiv (Failover) bedeutet, dass Failover und Zeitlimit verdoppelt werden und Parallels RAS auf Antwort beider Hosts wartet.

   • HA-Modus: Weitere Informationen finden Sie unter Primärer Server und Sekundärer Server oben: Wenn nur der Primäre Server angegeben ist, ist dieses Feld deaktiviert.

   • Port: Geben Sie die Portnummer für den RADIUS-Server ein. Klicken Sie auf die Schaltfläche Standard, um den Standardwert zu verwenden.

   • Zeitlimit: Geben Sie das Zeitlimit für das Paket in Sekunden an.

   • Erneute Versuche: Geben Sie die Anzahl der erneuten Versuche für die Herstellung einer Verbindung an.

   • Geheimer Schlüssel: Geben Sie den geheimen Schlüssel ein.

   • Passwortverschlüsselung: Wählen Sie PAP (Password Authentication Protocol) oder CHAP (Challenge Handshake Authentication Protocol), je nach den Einstellungen auf Ihrem RADIUS-Server.

   • Eingabeaufforderung: Geben Sie den Text an, den der Benutzer sieht, wenn er zu einem OTP-Dialog aufgefordert wird.

   • Benutzernamen nur an RADIUS-Server weiterleiten: Wählen Sie ggf. diese Option.

   • Leiten Sie das erste Passwort an den Windows-Authentifizierungsanbieter weiter: Wählen Sie diese Option, um eine zweimalige Aufforderung zur Eingabe des Passworts (RADIUS und Windows AD) zu vermeiden. Beachten Sie, dass diese Option für den Azure MFA-Server immer aktiviert ist und nicht ausgeschaltet werden kann.

6. Klicken Sie zum Abschluss auf Erstellen.

RADIUS MFA-Anbieter konfigurieren

Einen RADIUS MFA-Anbieter konfigurieren:

1. Navigieren Sie zu Site-Einstellungen > Verbindung > Multi-Faktor-Authentifizierung.

2. Doppelklicken Sie auf den Anbieter, den Sie konfigurieren möchten.

3. Klicken Sie auf die Schaltfläche Bearbeiten.

4. Folgende Kategorien können konfiguriert werden:

   • Kategorien Algemein und Verbindung: Siehe oben.

   • Attribute: Weitere Informationen finden Sie unter https://docs.parallels.com/parallels-ras-administrators-guide-19/parallels-ras-19-administrators-guide/connection-and-authentication-settings/multi-factor-authentication/using-radius/attributes.

• Automatisierung: Weitere Informationen finden Sie unter https://docs.parallels.com/parallels-ras-administrators-guide-19/parallels-ras-19-administrators-guide/connection-and-authentication-settings/multi-factor-authentication/using-radius/automation.

• Beschränkungen: Weitere Informationen finden Sie unter MFA-Regeln konfigurieren.

1. Klicken Sie zum Abschluss auf Speichern.

Die Gruppierung auf der nächsten Ebene in der Serverfarm-Hierarchie ist die Site, die Kernkomponenten, Sitzungshosts und andere Objekte enthält, die Verbindungen und Remote-Anwendungsdienste bereitstellen.

Um die globalen Site-Einstellungen zu verwalten, klicken Sie in der Seitenleiste auf die Kategorie Seiten-Einstellungen.

Um die Multi-Faktor-Authentifizierung (MFA) zu konfigurieren, navigieren Sie zu Site-Einstellungen > Verbindung > Multi-Faktor-Authentifizierung.

Wenn die Multifaktor-Authentifizierung verwendet wird, müssen die Benutzer in zwei aufeinanderfolgenden Phasen authentifiziert werden, um Zugriff auf die Liste der Anwendungen zu erhalten: Native Authentifizierung (Active Directory / LDAP) und eine der folgenden MFA:

• RADIUS

  • Azure MFA (RADIUS)

  • Duo (RADIUS)

  • FortiAuthenticator (RADIUS)

  • TekRADIUS

  • RADIUS

• TOTP

  • Google Authenticator

  • Microsoft Authenticator

  • TOTP (Einmalpasswort)

• Deepnet

• SafeNet

Bitte beachten Sie, dass das RAS-Verwaltungsportal zum Zeitpunkt der Erstellung dieses Dokuments nur verwendet werden kann, um RADIUS oder TOTP MFA-Anbieter hinzuzufügen und zu konfigurieren. Um andere Anbieter zu konfigurieren, müssen Sie die Desktop-basierte Parallels RAS-Konsole verwenden.

Die Verbindungs- und Authentifizierungseinstellungen verwalten Sie über Site-Einstellungen > Verbindung.

Wahl des Authentifizierungstyps

Wenn sich die Benutzer mit einer Site verbinden wollen, müssen sie sich vor der Anmeldung authentifizieren. Um den Authentifizierungstyp im Fenster Verbinden zu konfigurieren, wählen Sie Authentifizierung und dann eine der folgenden Optionen aus:

• Anmeldeinformationen. Die Benutzer-Anmeldeinformationen werden durch das Windows-System validiert, auf dem RAS läuft. Die für die Windows-Authentifizierung benutzten Anmeldedaten werden auch verwendet, um sich bei einer RDP-Sitzung anzumelden.

• Smartcard. Smartcard-Authentifizierung. Ähnlich wie bei der Windows-Authentifizierung können Smartcard-Anmeldedaten sowohl von RAS als auch von RDP verwendet werden. Daher müssen Smartcard-Anmeldedaten nur einmal eingegeben werden. Anders als bei der Windows-Authentifizierung muss der Benutzer nur die PIN der Smartcard kennen. Der Benutzername wird automatisch aus der Smartcard bezogen, daher muss der Benutzer ihn nicht eingeben.

• Web (SAML). SAML SSO-Authentifizierung.

• Web und Anmeldeinformationen. Dasselbe gilt für das Web (SAML), aber die Benutzer werden aufgefordert, ihre Anmeldeinformationen einzugeben, wenn sie eine veröffentlichte Anwendung starten.

Beachten Sie: Wenn die Smartcard-Authentifizierung deaktiviert ist, verknüpft RAS Connection Broker den Local Security Authority Subsystem Service (LSASS) nicht. Die Smartcard-Authentifizierung kann in Parallels Client für Windows, Mac und Linux verwendet werden. Beachten Sie auch, dass Smartcards nicht zur Authentifizierung verwendet werden können, wenn der Parallels Client innerhalb einer RDP-Sitzung ausgeführt wird.

Für die Verwendung von Smartcards muss ein gültiges Zertifikat auf einem Endgerät installiert sein. Dazu müssen Sie das Stammzertifikat der Zertifizierungsstelle in den Schlüsselspeicher des Geräts importieren.

Ein Zertifikat muss die folgenden Kriterien erfüllen:

• Das Feld „Key Usage“ muss eine digitale Signatur enthalten.

• Das Feld „Alternative Antragstellernamen“ (Subject Alternative Name – SAN) muss einen Benutzerhauptnamen („User Principal Name“, UPN) enthalten.

• Das Feld „Enhanced Key Usage“ muss die Anmeldung an der Smartcard und die Client-Authentifizierung enthalten.

Authentifizierungsdomänen

Um eine Domain (oder mehrere Domains) anzugeben, für die diese Authentifizierung ausgeführt werden soll, wählen Sie eine der folgenden Optionen aus:

• Spezifisch: Wählen Sie diese Option aus und geben Sie einen spezifischen Domänennamen ein.

• Alle vertrauenswürdigen Domänen. Wenn die Informationen über Benutzer, die sich mit Parallels RAS verbinden, in verschiedenen Domänen innerhalb eines Server-Forests gespeichert sind, wählen Sie die Option Alle vertrauenswürdigen Domänen, um eine Authentifizierung bei mehreren Domänen vorzunehmen.

• Client-Domäne verwenden, falls angegeben. Wählen Sie diese Option, um die Domäne zu verwenden, die in den Eigenschaften der Parallels Clientverbindung festgelegt ist. Wenn auf Seiten des Clients kein Domänenname angegeben ist, wird die Authentifizierung entsprechend den oben angeführten Einstellungen durchgeführt.

• Verwendung von NetBIOS-Anmeldeinformationen für Clients vorgeben. Wenn diese Option ausgewählt ist, ersetzt der Parallels Client den Benutzernamen durch den NetBIOS-Benutzernamen.

Empfehlung: Nachdem Sie die Domänennamen geändert oder andere Änderungen in Verbindung mit der Authentifizierung durchgeführt haben, sollten Sie zwischengespeicherte Session-IDs löschen. Zu diesem Zeitpunkt kann das nur von der RAS-Konsole aus gemacht werden. Dort klicken Sie auf die Schaltfläche Zwischengespeicherte Session-IDs löschen (auf der Registerkarte Einstellungen).

Um die Authentifizierung von Benutzersitzungen für Benutzer auf einer eigenständigen Maschine durchzuführen, müssen Sie anstelle des Domänennamens das Format [workgroup_name] / [machine_name] verwenden. Wenn Sie beispielsweise Benutzer anhand einer Liste lokaler Benutzer auf einem Computer namens SERVER1 authentifizieren möchten, der Mitglied der Arbeitsgruppe WORKGROUP ist, lautet der Eintrag im Feld „Domäne“ wie folgt: WORKGROUP/SERVER1.

Domainpasswort ändern

Sie können Parallels Client so konfigurieren, dass er eine benutzerdefinierte URL zum Ändern von Domain-Passwörtern verwendet.

Damit Parallels Client eine benutzerdefinierte URL zum Ändern von Domain-Passwörtern verwendet:

1. Wählen Sie die Option Benutzerdefinierten Link für das Feld „Domain-Passwort ändern“.

2. Den Link in das untenstehende Textfeld eingeben.

Erlaubte Geräte

Im Fenster Erlaubte Geräte geben Sie an, ob Clients die neuesten Sicherheitspatches installiert haben müssen, um sich mit der Farm verbinden zu dürfen. Diese Option muss normalerweise ausgewählt werden, um Ihre Umgebung vor Sicherheitsrisiken zu schützen. Sie sollten sie nur deaktivieren, wenn Sie eine ältere Version von Parallels Client verwenden müssen, auf der keine Sicherheitspatches installiert sind. Weitere Informationen finden Sie im folgenden Artikel der Wissensdatenbank: https://kb.parallels.com/en/125112.

In diesem Thema wird beschrieben, wie Sie vorhandene FSLogix-Profilcontainer so konfigurieren, dass sie von Parallels RAS verwaltet werden. Die Konfiguration des FSLogix-Profilcontainers definiert, wie und wohin das Profil umgeleitet wird. Normalerweise konfigurieren Sie Profile über Registry-Einstellungen und GPO. Parallels RAS bietet Ihnen die Möglichkeit, Profile von der Parallels RAS-Konsole oder dem RAS-Verwaltungsportal aus zu konfigurieren, ohne externe Tools zu verwenden.

Vor dem Start

Bevor Sie FSLogix Profile Containers in Parallels RAS konfigurieren, sollten Sie Folgendes beachten:

• Die Profile selbst müssen Sie nicht ändern; bestehende Profile bleiben erhalten.

• Sie können Ihre vorhandenen Speicherorte für FSLogix-Profilcontainer wie etwa SMB-Netzwerkfreigaben oder Cloud Cache weiterhin verwenden.

Vorbereitende Schritte

Bitte führen Sie die folgenden vorbereitenden Schritte aus:

1. Sichern Sie Ihre vorhandenen Profile. Es ist höchst unwahrscheinlich, dass Profildaten verloren gehen oder beschädigt werden, aber es ist das beste Verfahren, vor jeder Änderung der Profilkonfiguration einen gültigen Backup zu erstellen.

2. Schalten Sie die GPO-Konfiguration von FSLogix-Profilcontainern aus. Dieser Schritt ist wichtig, weil Sie nicht gleichzeitig die GPO- und die Parallels RAS-Verwaltung von FSLogix-Profilen aktiviert haben können.

3. Bevor Sie FSLogix-Profile für einen Server in einer RAS-Serverfarm konfigurieren, stellen Sie sicher, dass auf dem Server keine Benutzersitzungen ausgeführt werden. Als Vorschlag können Sie den Übergang in einem Wartungsfenster außerhalb der Arbeitszeiten vornehmen.

GPO und FSLogix-Konfiguration replizieren

Um bestehende FSLogix-Profilcontainer in Parallels RAS zu konfigurieren, müssen Sie Ihr bestehendes GPO auf die FSLogix-Konfiguration in Parallels RAS replizieren. Dies kann in der Parallels RAS-Konsole oder im Parallels-Verwaltungsportal erfolgen.

So konfigurieren Sie Profile im RAS-Verwaltungsportal:

1. Navigieren Sie zu Infrastruktur > RD-Sitzungshosts.

2. Klicken Sie auf einen Host in der Liste und dann auf Eigenschaften.

3. Klicken Sie im mittleren Bereich auf Benutzerprofil.

4. Geben Sie im Listenfeld Speicherort von Profil-Datenträgern die vorhandenen SMB- oder Cloud-Cache-Speicherorte an, an denen Sie Ihre FSLogix-Profile aufbewahren. Geben Sie außerdem das Format des Profil-Datenträgers, den Zuordnungstyp und die Standardgröße an.

5. Im mittleren Fenster klicken Sie auf die Objekte Benutzer und Gruppen, Ordner und Erweitert, um den Rest der FSLogix-Einstellungen, die Sie möglicherweise auf Ihren Servern haben, wie z. B. Benutzerausschlüsse, Ordnerausschlüsse und andere, zu konfigurieren.

Bitte beachten Sie, dass zum Zeitpunkt der Erstellung dieses Dokuments das RAS-Verwaltungsportal nur verwendet werden kann, um RD-Sitzungshosts für die Verwendung von FSLogix-Profilcontainern zu konfigurieren. Für andere Hosttypen verwenden Sie bitte die desktopbasierte RAS-Konsole (wie unten beschrieben).

So konfigurieren Sie Profile in der RAS-Konsole:

1. Öffnen Sie die Registerkarte Benutzerprofile auf einem Host, Site-Standardeinstellungen oder dem Dialogfeld Vorlagen-Eigenschaften.

2. Geben Sie im Listenfeld Speicherort von Profil-Datenträgern die vorhandenen SMB- oder Cloud-Cache-Speicherorte an, an denen Sie Ihre FSLogix-Profile aufbewahren. Geben Sie außerdem das Format des Profil-Datenträgers, den Zuordnungstyp und die Standardgröße an.

3. Klicken Sie auf die Schaltfläche Zusätzliche Einstellungen und konfigurieren Sie den Rest der FSLogix-Einstellungen, die Sie möglicherweise auf Ihren Servern haben, wie z. B. Benutzerausschlüsse, Ordnerausschlüsse und andere.

Empfehlungen und Tests

Wenn Sie die Schritte im vorherigen Abschnitt ausführen, konfigurieren Sie nicht gleich mehrere (oder alle) Server in einer RAS-Serverfarm. Beginnen Sie mit einem einzelnen Server (z. B. einem RD-Sitzungshost) und testen Sie ihn dann mit einer einzelnen Benutzerverbindung. Konfigurieren Sie danach einige andere Server und testen Sie, indem sich derselbe Benutzer nacheinander bei mehreren Servern anmeldet, um zu bestätigen, dass das Profil geladen und die Personalisierung unabhängig von einem Sitzungshost beibehalten wird. Wenn alles in Ordnung ist, konfigurieren Sie andere Host-, Hostpool- oder Site-Standardwerte.

Ihre RAS-Benutzer können sich jetzt mit Parallels RAS verbinden, indem sie bereits vorhandene FSLogix-Profilcontainer verwenden, die jetzt zentral über Parallels RAS verwaltet werden.

FSLogix konfigurieren:

1. Führen Sie einen der folgenden Schritte aus:

   • Um die Standardeinstellungen des Standorts zu konfigurieren, gehen Sie zu Infrastruktur > Hostpools > RD-Sitzungshosts > Eigenschaften > Standardeinstellungen des Standorts > Benutzerprofil.

   • Um Hostpools zu konfigurieren, gehen Sie zu Infrastruktur > Hostpools > <Hostpoolname> > Eigenschaften > Benutzerprofil.

   • Um einzelne Hosts zu konfigurieren, gehen Sie zu Infrastruktur > RD-Sitzungshosts > <Hostname> > Eigenschaften > Benutzerprofil.

2. Wenn Sie die Profilcontainer verwenden möchten, gehen Sie zu Benutzerprofil > FSLogix – Profilcontainer:

   • Benutzer und Gruppen: Legen Sie ein- und ausschließende Benutzer- und Gruppenlisten fest. Standardmäßig wird "Jeder" zur Einschlussliste des FSLogix-Profils hinzugefügt. Wenn einige Benutzerprofile lokal bleiben sollen, können Sie diese Benutzer zur Ausschlussliste hinzufügen. Benutzer und Gruppen können in beiden Listen vorhanden sein, aber das Ausschließen hat Vorrang.

   • Ordner: Legen Sie ein- und ausschließende Listen für Ordner fest. Sie können aus vorhandenen Ordnern auswählen oder einen Ordner eingeben. Bitte beachten Sie, dass sich die Ordner im Pfad des Benutzerprofils befinden müssen.

   • Disks: Geben Sie die Einstellungen des Profildatenträgers an. Standorttyp: Wählen Sie einen Speicherorttyp für Profildatenträger (SMB-Speicherort oder Cloud Cache) und geben Sie dann einen oder mehrere Speicherorte an. Speicherort von Profil-Datenträgern: Speicherort(e) von Profil-Datenträgern. Dies sind die Speicherorte der VHD(X)-Dateien (die Einstellung VHDLocations in der Registry, wie in der FSLogix-Dokumentation angegeben). Benutzerprofil-Datenträgerformat: Wählen Sie entsprechend Ihren Anforderungen zwischen VHD und VHDX. VHDX ist ein neueres Format und hat mehr Funktionen. Zuweisungstyp: Wählen Sie Dynamisch oder Voll. Diese Einstellung wird in Verbindung mit der Einstellung Standardgröße (siehe unten) verwendet, um die Größe eines Profils zu verwalten. Dynamisch bewirkt, dass der Profilcontainer nur den minimalen Speicherplatz auf der Festplatte verwendet, unabhängig von der zugewiesenen Standardgröße. Wenn ein Benutzerprofil mit mehr Daten gefüllt wird, wächst die Datenmenge auf der Festplatte bis zu der angegebenen Standardgröße, überschreitet diese aber nie. Standardgröße: Gibt die Größe der neu erstellten VHD(X) in Megabyte an.

   • Erweitert: Auf dieser Registerkarte können Sie erweiterte Registrierungseinstellungen für FSLogix vornehmen. Die Einstellungen sind standardmäßig deaktiviert. Um eine Einstellung zu aktivieren, aktivieren Sie das Kontrollkästchen vor ihrem Namen. In der RAS-Konsole finden Sie eine Beschreibung der Einstellungen. Weitere Informationen zur Konfiguration der FSLogix-Profilcontainer finden Sie unter https://docs.microsoft.com/de-de/fslogix/profile-container-configuration-reference.

3. Wenn Sie die Office-Container verwenden möchten, gehen Sie zu Benutzerprofil > FSLogix – Office-Container.:

   • Benutzer und Gruppen: Wie oben.

   • Disks: Wie oben.

   • Erweitert: Wie oben.

4. Wenn Sie Cloud-Cache konfigurieren möchten, gehen Sie zu Benutzerprofil > FSLogix – Cloud-Cache. Weitere Informationen zur diesen Einstellungen finden Sie unter https://learn.microsoft.com/en-us/fslogix/reference-configuration-settings?tabs=ccd#fslogix-settings-profile-odfc-cloud-cache-logging.

5. Wenn Sie die Protokollierung konfigurieren möchten, gehen Sie zu Benutzerprofil > FSLogix – Protokollierung. Weitere Informationen zur diesen Einstellungen finden Sie unter https://learn.microsoft.com/en-us/fslogix/reference-configuration-settings?tabs=ccd#fslogix-settings-profile-odfc-cloud-cache-logging.

In diesem Abschnitt erklären wir, wie Sie den Google Authenticator konfigurieren.

So konfigurieren Sie Google Authenticator:

1. Navigieren Sie zu Site-Einstellungen > Verbindung > Multi-Faktor-Authentifizierung.

2. Doppelklicken Sie auf den Google Authenticator, den Sie konfigurieren möchten.

3. Klicken Sie auf die Schaltfläche Bearbeiten.

4. Geben Sie Folgendes an:

   • Name: Name des Anbieters.

   • Beschreibung: Beschreibung des Anbieters.

   • Wählen Sie in der Tabelle Design die Designs aus, die diesen MFA-Anbieter verwenden sollen.

   • Anzeigename: Der Standardname ist hier „Google Authenticator“. Der Name wird im Registrierungsdialog im Parallels Client im folgenden Satz angezeigt: „Installieren Sie die Google Authenticator-App auf Ihrem iOS- oder Android-Gerät“. Wenn Sie den Namen ändern, enthält der Satz den von Ihnen angegebenen Namen, wie z. B. „Installieren Sie \neuer Name\ auf Ihrem iOS- oder Android-Gerät“. Technisch gesehen können Sie jede beliebige Authentifizierer-Anwendung verwenden (daher die Möglichkeit, den Namen zu ändern), aber zum Zeitpunkt dieses Artikels wird ausschließlich die Google Authenticator-Anwendung offiziell unterstützt.

   • Eingabeaufforderung: Geben Sie den Text an, den der Benutzer sieht, wenn er zu einem OTP-Dialog aufgefordert wird.

   • Ändern Sie, falls erforderlich, die standardmäßig vorgegebene TOTP-Toleranz.

   • Im Abschnitt Registrierung können Sie die Benutzerregistrierung über Google Authenticator bei Bedarf einschränken. Sie können allen Benutzern die Registrierung ohne Einschränkungen erlauben (Option Zulassen), die Registrierung bis zum angegebenen Datum und zur angegebenen Zeit erlauben (Option Zulassen bis) oder die Registrierung vollständig deaktivieren (Option Nicht zulassen). Wenn die Registrierung aufgrund eines abgelaufenen Zeitraums oder der aktivierten Option Nicht zulassen deaktiviert wurde, wird einem Benutzer, der versucht, sich anzumelden, eine Fehlermeldung angezeigt, die besagt, dass die Registrierung deaktiviert ist, und dem Benutzer rät, sich an den Systemadministrator zu wenden. Wenn Sie die Registrierung einschränken oder deaktivieren, kann Google Authenticator oder ein anderer TOTP-Anbieter weiterhin verwendet werden, jedoch mit zusätzlicher Sicherheit, durch die keine weitere Benutzerregistrierung zugelassen wird. Hierbei handelt es sich um eine Sicherheitsmaßnahme, um Benutzer mit kompromittierten Anmeldeinformationen davon abzuhalten, sich bei MFA zu registrieren.

   • Informationen für nicht registrierte Benutzer anzeigen: Wählen Sie aus, ob nicht registrierten Benutzern der Fehler Der Benutzername oder das Kennwort ist falsch angezeigt werden soll, wenn sie falsche Anmeldeinformationen eingeben:

     • Nie (sicherste Option): Nicht registrierten Benutzern wird statt des Fehlers eine TOTP-Aufforderung angezeigt.

     • Falls Registrierung erlaubt ist: Nicht registrierten Benutzern wird der Fehler angezeigt, wenn Benutzerregistrierung erlaubt ist. Falls nicht, wird die TOTP-Aufforderung angezeigt.

     • Immer: Nicht registrierten Benutzern wird der Fehler immer angezeigt.

   • Das Feld Benutzer zurücksetzen im Abschnitt Benutzerverwaltung wird verwendet, um den Token zurückzusetzen, den ein Benutzer erhalten hat, als er versucht hat, sich zum ersten Mal mit Google Authenticator bei Parallels RAS anzumelden. Wenn Sie einen Benutzer zurücksetzen, muss er das Registrierungsverfahren erneut durchlaufen (siehe Verwendung von Google Authenticator im Parallels Client unten). Sie können nach bestimmten Benutzern suchen, alle Benutzer zurücksetzen oder die Liste der Benutzer aus einer CSV-Datei importieren.

   • Beschränkungen: Weitere Informationen finden Sie unter Konfigurieren Sie MFA-Regeln.

5. Klicken Sie zum Abschluss auf Speichern.

Verwendung von Google Authenticator im Parallels Client

Google Authenticator wird im Parallels Client unterstützt und läuft auf allen unterstützten Plattformen (mobil, Desktop und Web Client).

Um Google Authenticator zu verwenden, muss ein Nutzer die Authenticator-App auf seinem iOS- oder Android-Gerät installieren. Besuchen Sie einfach Google Play oder den App Store und installieren Sie die App. Sobald die Authenticator-App installiert ist, kann der Benutzer eine Verbindung zu Parallels RAS mit Zwei-Faktor-Authentifizierung herstellen.

So wird die Verbindung mit Parallels RAS hergestellt:

1. Der Benutzer öffnet den Parallels Client oder das Nutzerportal und meldet sich mit seinen Zugangsdaten an.

2. Das Multi-Faktor-Authentifizierungsdialogfeld wird geöffnet und zeigt einen Barcode (auch bekannt als QR-Code) und einen geheimen Schlüssel an.

3. Der Nutzer öffnet die Google Authenticator-App auf seinem mobilen Gerät:

   • Wenn er es zum ersten Mal benutzt, tippt er auf Beginnen und dann auf Barcode scannen.

   • Wenn ein Nutzer bereits ein anderes Konto in Google Authenticator hat, tippt er auf das Plus-Zeichen-Symbol und wählt Barcode scannen.

4. Der Benutzer scannt dann den Barcode, der im Anmeldedialog des Parallels Clients angezeigt wird.

   Wenn das Scannen aus irgendeinem Grund nicht funktioniert, wechselt der Benutzer zurück zur App, wählt Enter a provided key (Bereitgestellten Schlüssel eingeben) und gibt dann den Kontonamen und den Schlüssel ein, der im Anmeldedialogfeld des Parallels Clients angezeigt wird.

5. Der Benutzer tippt dann auf Add account (Konto hinzufügen) in der App, dadurch wird ein Konto erstellt und ein Einmal-Passwort angezeigt.

6. Der Benutzer geht zurück zum Parallels Client, klickt auf Weiter und gibt das Einmal-Passwort in das Feld OTP ein.

Bei jeder weiteren Anmeldung muss der Nutzer nur seine Zugangsdaten (oder gar nichts, wenn die Option Passwort speichern ausgewählt wurde) und ein einmaliges Passwort eingeben, das er von der Google Authenticator-App erhält (die Anwendung generiert ständig ein neues Passwort). Wenn ein RAS-Administrator einen Benutzer zurücksetzt (siehe Feldbeschreibung Benutzer zurücksetzen am Anfang dieses Abschnitts), muss der Benutzer den oben beschriebenen Registrierungsvorgang wiederholen.

Mithilfe der Druckerumleitung können die Benutzer einen Druckauftrag von einer Remote-Anwendung oder Desktop an ihren lokalen Drucker umleiten, wobei es sich um den mit dem Computer des Benutzers verbundenen Drucker oder einen Netzwerkdrucker handeln kann, der über eine IP-Adresse angesteuert wird. Universal Printing vereinfacht das Druckverfahren und löst die meisten Druckerprobleme, da ein Remoteserver für einen spezifischen lokalen Drucker auf der Clientseite keinen Druckertreiber benötigt. Ein Benutzer kann daher unabhängig davon drucken, welcher Drucker lokal installiert ist, und der RAS-Administrator braucht nicht für jeden Drucker, der mit dem lokalen Netzwerk verbunden ist, einen Druckertreiber zu installieren.

Navigieren Sie zu Site-Einstellungen > Universelles Drucken, um das universelle Drucken zu konfigurieren.

Druckereinstellungen: Umbenennungsmuster

Standardmäßig benennt Parallels Remote Application Server die Drucker nach folgendem Muster um: %PRINTERNAME% for %USERNAME% by Parallels. Nehmen wir beispielsweise an, ein Benutzer mit dem Namen Alice hat einen lokalen Drucker mit dem Namen Printer1. Wenn Alice eine Remote-Anwendung oder einen Desktop startet, bekommt ihr Drucker den Namen Printer1 für Alice über Parallels.

Sie können das Muster für das Umbenennen von Druckern ändern, indem Sie ein neues Muster in das Eingabefeld Druckerumbenennung / Muster eingeben. Um die vordefinierten Variablen anzuzeigen, die Sie verwenden können, klicken Sie auf die Schaltfläche Variable hinzufügen. Die Variablen sind:

• %CLIENTNAME% – der Name des Client-Computers.

• %PRINTERNAME% – der Name des Druckers auf der Clientseite.

• %SESSIONID% – RAS-Sitzungs-ID.

• %USERNAME% – der Name des Benutzers, der mit RAS verbunden ist.

• <2X Universal Printer> – Dies ist ein veralteter Modus, der bedeutet, dass nur ein Druckerobjekt in der RDP-Sitzung erstellt wird.

Sie können im Muster für die Druckerumbenennung auch andere Zeichen verwenden. So können Sie beispielsweise das folgende häufig verwendete Muster definieren:

Client/%CLIENTNAME%#/%PRINTERNAME%.

Mit dem oben aufgezeigten Muster (und der Benutzerin Alice aus dem vorab genannten Beispiel) wird der lokale Drucker Client/Alice's Computer#/Printer1 benannt.

Sie können auch ein anderes Muster für die Druckerumbenennung für jeden Server in der Liste Server der Site festlegen.

Hinweis: Umgeleitete Drucker sind nur für den Administrator und den Benutzer zugänglich, der den Drucker umgeleitet hat.

Druckereinstellungen: Druckerbindung

Wenn mandantendefinierte Drucker an eine Remotesitzung weitergeleitet werden, dauert es länger und wirkt sich auf die gesamte Sitzungsaufbauzeit aus. Um die Benutzerfreundlichkeit zu verbessern, können Sie die zuvor erstellten Drucker der Benutzer wiederverwenden. Stellen Sie dazu die Option Druckerbindung auf Druckerbindungsoptimierung aktivieren ein.

Treiber

Ein Systemadministrator kann die Liste von Druckertreibern auf der Clientseite steuern, denen erlaubt oder verwehrt wird, die Umleitungsberechtigungen für Universal Printing zu verwenden.

Diese Funktion ermöglicht Folgendes:

• Vermeidung der Überlastung von Server Ressourcen durch unnütze Druckerumleitungen. Da die meisten Benutzer alle lokalen Drucker umleiten (Standardeinstellung) wird eine große Anzahl von umgeleiteten Geräten auf dem Server erstellt, die nicht wirklich benutzt werden. Das gilt hauptsächlich für verschiedene papierlose Druckertreiber wie PDFCreator, Microsoft XPS Writer oder diverse Faxgeräte.

• Vermeidung der Instabilität von Servern bei bestimmten Druckern. Es gibt Drucker, die Instabilität auf dem Server bewirken können (Spoolerdienste) und in weiterer Folge die Druckdienste für alle verbundenen Benutzer unmöglich machen. Es ist sehr wichtig, dass der Administrator die Möglichkeit hat, diese Treiber in die Ablehnungsliste einzufügen, um die Druckdienste funktionsfähig zu halten.

So geben Sie die Druckertreiber im Abschnitt Treiber ein:

1. Wählen Sie in der Dropdownliste Modus aus folgenden Optionen aus, welchen Druckern eine Umleitung gestattet wird:

   • Druckerumleitung für jeden Treiber zulassen|: (Standardeinstellung). Bei dieser Option gibt es keine Begrenzung der Arten von Druckertreibern, die ein Drucker verwenden kann, um Umleitungsberechtigungen zu nutzen.

   • Druckerumleitung für einen der folgenden Treiber zulassen: Wählen Sie diese Option aus und fügen Sie die „zugelassenen“ Treiber der Liste hinzu. Um einen Treiber hinzuzufügen, klicken Sie auf das Pluszeichen-Symbol und tippen Sie den Treibernamen ein.

   • Druckerumleitung für einen der folgenden Treiber nicht zulassen: Dies ist wahrscheinlich die sinnvollste Option im Kontext dieser Funktion. Die Drucker, die die in der Liste festgelegten Druckertreiber verwenden, erhalten keine Umleitungsberechtigungen. Alle anderen Drucker können die Umleitung nutzen.

2. Um einen Druckertreiber aus der Liste zu entfernen, klicken Sie auf das Minussymbol.

Beachten Sie bitte Folgendes:

• Wenn Sie einen Druckertreiber der Liste hinzufügen, geben Sie den Treibernamen ein, nicht den Druckernamen.

• Für den Vergleich der Treibernamen wird die Groß- und Kleinschreibung nicht berücksichtigt und es muss eine genaue Übereinstimmung gegeben sein (keine Teile von Namen, keine Platzhalter).

• Die Einstellungen, die Sie auf dieser Registerkarte vornehmen, betreffen die gesamte Site (nicht einen einzelnen Server).

Schriftarten

Schriftarten müssen eingebettet werden, damit ein Dokument bei seiner Ausgabe per Universellem Drucken in den lokalen Spooler des Clients übertragen und anschließend gedruckt werden kann. Stehen dem Client die Schriftarten nicht zur Verfügung, wird das Dokument nicht ordnungsgemäß dargestellt.

Festlegen von nicht einzubettenden Schriftarten: Um eine bestimmte Schriftart von der Einbettung auszuschließen, wählen Sie diese in der Liste aus. Um eine oder mehrere Schriftart(en) hinzuzufügen, klicken Sie auf das Pluszeichen-Symbol.

Schriftarten automatisch installieren: Um einen bestimmten Schriftarttyp auf Servern oder Clients automatisch zu installieren, klicken Sie auf das Pluszeichen-Symbol im Abschnitt Schriftarten automatisch installieren.

Hinweis: Schriftarten auf der Liste für die automatische Installation sind standardmäßig von der Einbettung ausgenommen, weil sie auf den Windows-Clients installiert werden würden und daher nicht eingebettet werden müssen.

Die Multifaktor-Authentifizierung (MFA) kann für alle Benutzerverbindungen aktiviert oder deaktiviert werden, aber Sie können für bestimmte Verbindungen auch komplexe Regeln konfigurieren. Mit dieser Funktion können Sie verschiedene MFA für denselben Benutzer oder Computer erstellen, aktivieren oder deaktivieren, die je nachdem gelten, von wo und über welches Gerät sich der Benutzer angemeldet hat. Jeder MFA-Anbieter hat eine Regel, die aus einem oder mehreren Kriterien für den Abgleich mit Benutzer-Verbindungen besteht. Jedes Kriterium besteht wiederum aus einem oder mehreren spezifischen Objekten, die abgeglichen werden können.

Sie können die folgenden Objekte abgleichen:

• Benutzer, eine Gruppe, zu der der Benutzer gehört, oder der Computer, von dem aus der Benutzer eine Verbindung herstellt

• Das Secure Gateway, mit dem sich der Benutzer verbindet

• Name des Client-Geräts

• Betriebssystem des Client-Geräts

• IP-Adresse

• MAC-Adresse

Beachten Sie bitte folgende Hinweise zu den Regeln:

• Die Kriterien werden mit dem AND-Operator verknüpft. Wenn eine Regel beispielsweise ein Kriterium enthält, das auf bestimmte IP-Adressen zutrifft, und ein Kriterium, das auf die Betriebssysteme der Client-Geräte zutrifft, wird die Regel angewendet, wenn eine Benutzer-Verbindung mit einer der IP-Adressen UND einem der Client-Betriebssysteme übereinstimmt.

• Die Kriterien werden mit dem OR-Operator verknüpft. Wenn Sie z. B. nur ein Kriterium für passende Client-Geräte-Betriebssysteme erstellen, wird die Regel angewendet, wenn eines der Betriebssysteme mit der Client-Verbindung übereinstimmt.

So konfigurieren Sie eine Regel:

1. Navigieren Sie zu Site-Einstellungen > Verbindung > Multi-Faktor-Authentifizierung.

2. Doppelklicken Sie auf den Google Authenticator, den Sie konfigurieren möchten.

3. Klicken Sie auf den Link Beschränkungen.

4. Klicken Sie auf die Schaltfläche Bearbeiten.

5. Deaktivieren Sie die Option Standardeinstellungen erben.

6. Geben Sie die Kriterien für die Regel an. Folgende Steuerelemente sind verfügbar:

   • Erlauben: gibt an, dass der MFA-Anbieter aktiviert werden muss, wenn eine Benutzer-Verbindung den Kriterien entspricht. Klicken Sie auf Erlauben, um die Option auf Ablehnen zu ändern.

   • Ablehnen: legt fest, dass die Richtlinie des MFA-Anbieters nicht aktiviert werden darf, wenn eine Benutzer-Verbindung den Kriterien entspricht. Klicken Sie auf Ablehnen, um die Option auf Erlauben zu ändern.

   • (+): fügt ein neues Kriterium hinzu. Wenn Sie ein Secure Gateway, einen Client-Gerätenamen, ein Client-Gerätebetriebssystem, eine IP-Adresse oder eine MAC-Adresse abgleichen möchten, klicken Sie auf (+).

   • Ist: gibt an, dass der MFA-Anbieter aktiviert sein muss (oder deaktiviert, durch Erlauben und Ablehnen) wenn eine Benutzer-Verbindung den Kriterien entspricht. Klicken Sie auf „Ist“, um dieses Steuerungselement auf Ist nicht zu ändern. Dieses Steuerungselement wird angezeigt, wenn mindestens ein Objekt hinzugefügt wurde.

   • Ist nicht: gibt an, dass der MFA-Anbieter aktiviert sein muss (oder deaktiviert, durch Erlauben und Ablehnen) wenn eine Benutzer-Verbindung den Kriterien nicht entspricht. Klicken Sie auf „Ist nicht“, um dieses Steuerungselement auf Ist zu ändern. Dieses Steuerungselement wird angezeigt, wenn mindestens ein Objekt hinzugefügt wurde.

   Sie können die Kriterien auch aktivieren/deaktivieren, indem Sie links daneben auf den Schalter klicken.

7. Klicken Sie zum Abschluss auf Speichern.

Durch die Scannerumleitung werden Benutzer, die mit einem Remotedesktop verbunden sind oder auf eine veröffentlichte Anwendung zugreifen, in die Lage versetzt, mit einem Scanner, der an den Clientcomputer angeschlossen ist, einen Scan durchzuführen. Dieses Kapitel beschreibt, wie Sie RAS Universal Scanning-Services konfigurieren und verwenden.

Navigieren Sie zu Site-Einstellungen > Universal Scanning, um das universelle Scannen zu konfigurieren.

Universal Scanning nutzt WIA und TWAIN-Umleitung, damit jede Anwendung zum Scannen Hardware unterschiedlicher Technologien nutzen kann, die am Client-Gerät angeschlossen ist. Universal Scanning gewährleistet, dass auf dem Server kein bestimmter Scanner-Treiber installiert werden muss.

Hinweis: Die Serverfunktion Desktopdarstellung ist erforderlich, damit WIA- und TWAIN-Scanning im RD-Sitzungshost möglich ist.

Standardmäßig wird der Universal Scanning-Treiber automatisch installiert, wenn der RAS-Farm ein Hostserver hinzugefügt wird und die Agent-Software darauf installiert ist.

Konfigurieren eines Musters für die Scanning-Umbenennung

Standardmäßig benennt Parallels Remote Application Server die Scanner nach folgendem Muster um: %SCANNERNAME% für %USERNAME% über RAS. Wenn beispielsweise eine Benutzerin namens Lois, die den SCANNER1 lokal installiert hat, sich mit einem Remotedesktop oder einer veröffentlichten Anwendung verbindet, wird ihr Scanner in „SCANNER1 für Lois über RAS“ umbenannt.

Wenn Sie das Muster für das Umbenennen von Druckern ändern möchten, geben Sie ein neues Muster in das Eingabefeld Scanner-Umbenennung / Muster ein. Für die Umbenennung können Sie folgende Variablen verwenden:

• %SCANNERNAME% – clientseitiger Scannername.

• %USERNAME% – Benutzername des mit dem Server verbundenen Benutzers.

• %SESSIONID% – ID der aktiven Sitzung.

Sie können ein anderes Muster für die Umbenennung spezifisch für jeden Server in der Liste festlegen.

Hinweis: Umgeleitete Scanner sind nur für den Administrator und den Benutzer zugänglich, der den Drucker umgeleitet.

Hinzufügen einer Scan-Anwendung

TWAIN-Anwendungen, die die Universal Scanning-Funktion verwenden, müssen der TWAIN-Konfiguration hinzugefügt werden. Auf diese Weise verwenden Sie den TWAIN-Treiber, damit wird das Einrichten für den Administrator vereinfacht.

So fügen Sie eine Anwendung der Liste der Scan-Anwendungen hinzu:

1. Wählen Sie die Kategorie TWAIN aus.

2. Klicken Sie im rechten Fensterbereich auf das Pluszeichen-Symbol und tippen Sie den Namen der ausführbaren Anwendung ein.

Hinweis: Einige Anwendungen verwenden unter Umständen andere oder mehrere Programmdateien. Achten Sie darauf, dass alle erforderlichen Programmdateien der Liste der Scan-Anwendungen hinzugefügt werden.

Um eine Scan-Anwendung aus der Liste zu entfernen, wählen Sie diese in der Liste aus und klicken auf das Minuszeichen-Symbol.

Hinweis: Wenn Sie eine Anwendung aus der Liste löschen, wird die Installation der Anwendung nicht beeinflusst.

Hinweis: Wenn Sie eine bestehende FSLogix-Profilcontainer-Konfiguration haben, die von Parallels RAS verwaltet werden soll, lesen Sie bitte zusätzliche Anweisungen in .

Microsoft FSLogix Profile Container ist die bevorzugte Benutzerprofil-Verwaltungslösung als Nachfolger von Roaming Profiles und Benutzerprofil-Disks (UPDs). Es soll den Benutzerkontext in nicht persistenten Umgebungen aufrechterhalten, die Anmeldezeiten minimieren, eine native Profilerfahrung bieten und damit Kompatibilitätsprobleme beseitigen.

Ab Version 18 bietet Ihnen Parallels die Möglichkeit, FSLogix-Profilcontainer zu integrieren, zu konfigurieren, zu warten und zu unterstützen. Dabei werden Storage Spaces Direct, Azure Files und Azure NetApp Files unterstützt, basierend auf den unterstützten Protokollen wie SMB und Cloud Cache für Ausfallsicherheit und Verfügbarkeit.

Folgende FSLogix-Profilcontainer werden unterstützt

Parallels RAS wurde mit FSLogix-Profilcontainer-Releases bis einschließlich Release 2105 getestet.

Voraussetzungen

FSLogix-Profilcontainer-Lizenzberechtigung, die in den folgenden Lizenzen enthalten ist:

• Microsoft 365 E3, E5

• Microsoft 365 A3, A5, Student Use Benefits

• Microsoft 365 F1, F3

• Microsoft 365 Business

• Windows 10 Enterprise E3, E5

• Windows 10 Education A3, A5

• Windows 10 VDA pro Benutzer

• Client-Zugriffslizenz (CAL) für Remotedesktopdienste (RDS)

• Abonnenten-Zugangslizenz (SAL) für Remotedesktopdienste (RDS)

Weitere Voraussetzungen sind:

• Profilcontainer-Speicherung gemäß den Empfehlungen von FSLogix konfiguriert.

• Richtlinien für Gruppenrichtlinienobjekte (Group Policy Object, GPO), die sich auf FSLogix beziehen, müssen auf Hosts deaktiviert werden, auf denen Parallels RAS FSLogix-Einstellungen verwaltet.

Installieren Sie die FSLogix-Profilcontainer-Anwendung in Parallels RAS

So installieren Sie die FSLogix-Profilcontainer-Anwendung im Parallels RAS-Verwaltungsportal:

1. Navigieren Sie zu Site-Einstellungen > FSLogix.

2. Klicken Sie im rechten Fensterbereich auf Bearbeiten und wählen Sie eine der folgenden Installationsmethoden aus:

   • Manuell installieren: Nutzen Sie die FSLogix-Profilcontainer-Anwendung, die manuell auf einem Host installiert wird (Parallels RAS installiert den FSLogix-Agent nicht).

   • Online installieren: Installieren Sie FSLogix-Profilcontainer von der Microsoft-Website. Wählen Sie in der Dropdownliste eine der folgenden unterstützten Versionen aus: Wählen Sie Benutzerdefinierte URL aus und geben Sie eine URL in das Feld ein, um eine benutzerdefinierte URL anzugeben. Klicken Sie auf Aktuellste erkennen, um die aktuellste unterstützte Version anzuzeigen. Die aktuellste Version wird identifiziert und dann der Dropdownliste Online installieren hinzugefügt.

   • Von einer Netzwerkfreigabe aus installieren: Installieren Sie den FSLogix-Agent, den Sie lokal zur Verfügung haben (Parallels RAS benötigt ein offizielles ZIP-Archiv, wie es von Microsoft bereitgestellt wird).

   • Von RAS Connection Broker pushen: Die aktuellste Version des FSLogix-Agent wird heruntergeladen und im RAS Connection Broker gespeichert, um sie dann auf die Ziel-Sitzungshosts zu übertragen.

Konfigurieren eines Sitzungshosts zur Verwendung mit FSLogix-Profilcontainer

Bitte beachten Sie, dass zum Zeitpunkt der Erstellung dieses Dokuments das RAS-Verwaltungsportal nur verwendet werden kann, um RD-Sitzungshosts für die Verwendung von FSLogix-Profilcontainern zu konfigurieren. Für andere Hosttypen verwenden Sie bitte die desktopbasierte RAS-Konsole.

So konfigurieren Sie einen Sitzungshost:

1. Navigieren Sie zu Infrastruktur > RD-Sitzungshosts.

2. Klicken Sie auf einen Host in der Liste und dann auf Eigenschaften.

3. Klicken Sie im mittleren Bereich auf Benutzerprofil.

4. Klicken Sie auf Bearbeiten, um die Bearbeitung zu ermöglichen. Um die Standardwerte des Hostpools oder der Site zu überschreiben, deaktivieren Sie Standardwerte übernehmen und geben Ihre eigenen Einstellungen ein. Um die Standardwerte des Hostpools oder der Site zu ändern, klicken Sie auf den entsprechenden Link und führen Sie dann die Bearbeitung in der jeweiligen Ansicht durch.

5. Legen Sie die Einstellungen nach Ihren Bedürfnissen fest.