ISA RDP Verbindung funktioniert nicht

[INXS 10]

Hallo,

ich versuche im Netzwerk (siehe Skizze im Anhang) eine RDP Verbindung vom Client aus den ISA bzw. Anwendungsserver herzustellen.

 

Dafür habe ich auf dem ISA eine Serververöffentlichungsregel erstellt.

Aktion:Zulassen, Datenverkehr:RDP -(Terminaldienste) Server, Von:Extern,

Bis:192.168.0.250, Netzwerke:Extern, Zeitplan:immer.

(Regel steht an Position 1 ist aktiviert und übernommen)

 

Außerdem habe ich auf dem ISA unter Terminaldienstekonfiguration in den RDP-TCP Eigenschaften , Netzwerkadapter die interne Netzwerkkarte ausgewählt.

 

Die Verbindung funktioniert aber nicht, weil der ISA die Verbindung herausfiltert:

> Verweigerte Verbindung

> Protokollierungstyp: Firewalldienst

> Status: Die Richtlinienregeln lassen die Benutzeranforderung nicht zu.

> Regel: Standardregel

> Quelle: Extern ( 192.168.1.253:1092)

> Ziel: Lokaler Host ( 192.168.0.250:3389)

> Protokoll: RDP (Terminaldienste)

 

Was mache ich noch falsch?:confused:

[Deejablo 10]

Du willst vom Client auf den ISA per RDP?

Warum benutzt du nicht einfach die Systemrichtlinien dafür?

Die nehmen dir das ja quasi ab.

 

Und wenn du vom Client auf den Application Server willst musst du als Regel von Extern nach Intern (IP des Application Server) gehen.

[INXS 10]

Und wenn du vom Client auf den Application Server willst musst du als Regel von Extern nach Intern (IP des Application Server) gehen.

Dafür habe ich die Serververöffentlichungsregel erstellt, diese greift aber nicht.

Genau das ist mein Problem.:cry:

[Cybquest 36]

Wenn Du den Applicationserver mit dessen internen IP ansprichst (der 192.168.0.250), brauchst Du keine Serververöffentlichungsregel, sondern eine einfache Zugriffsregel, würde ich sagen.

[INXS 10]

Hallo,

die Verbindung zum ISA mit Systemrichtlinien funktioniert.

Allerdings finde ich keinen Weg mittels Zugriffsregel oder Serververöffentlichungsregel eine Verbindung zum Anwendungsserver herzustellen.

[Deejablo 10]

Laut deinem Screen hat der Application Server aber auch die 251 als Adresse und nicht die 250?

[INXS 10]

Hallo,

das habe ich zum Test mehrfach geändert (als Ziel eine einzelne IP 250 und 251 und das gesamte interne Netzwerk).

Es funktionieren weder Zugriffsregel noch Serververöffentlichungsregel um

von außen auf einen Server (egal welchen) zu gelangen.

Einzig durch die Systemrichtlinien komme ich von außen auf die 250.

[Deejablo 10]

Wenn du eine Firewallregel erstellst, musst du als Protokoll RDP-Terminaldienste nehmen. RDP-Terminaldienste (Server) wird nicht funktionieren, da falsche Richtung (Eingehend anstatt ausgehend)

[INXS 10]

Hallo,

es funktioniert beides nicht. Meiner Ansicht nach sollte RDP-Terminaldienste (Server) trotzdem richtig sein, da der Client von extern eine RDP Verbindung aufbaut. Aus ISA Sicht ist dies eine eingehende Anforderung über RDP.

[Cybquest 36]

Zwischen int. und ext. Netz hast Du NAT?

Möglichweise funktioniert die Serververöffentlichungsregel nicht, weil der ISA selbst ja schon auf Port 3389 nach RDP horcht...

Ausserdem musst du m.w. bei NAT von Aussen bei der Verbindung nicht die int. sondern die ext. ISA-Adresse angeben.

Mit der int. Adresse kannst du nur bei einem "Route"-Verhältnis arbeiten.

[INXS 10]

Hallo, jetzt kommen wir der Sache endlich näher, vielen Dank erst mal für deine Hilfe! :)

Zwischen int. und ext. Netz hast Du NAT?

Ja

Möglichweise funktioniert die Serververöffentlichungsregel nicht, weil der ISA selbst ja schon auf Port 3389 nach RDP horcht...

In der Terminaldienstekonfiguration in den RDP-TCP Eigenschaften , Netzwerkadapter ist die interne Netzwerkkarte ausgewählt.

NETSTAT -AN gibt mir TCP 192.168.0.250:3389 0.0.0.0:0 als Ergebnis aus.

Ausserdem musst du m.w. bei NAT von Aussen bei der Verbindung nicht die int. sondern die ext. ISA-Adresse angeben.

OK, wenn ich den RDP Zugriff auf die externe IP versuche funktioniert der Zugriff.

Mit der int. Adresse kannst du nur bei einem "Route"-Verhältnis arbeiten.

Heißt das, ich benötige noch eine statische Route, wenn ich unterschiedliche Rechner im internen Netz erreichen will?

[Cybquest 36]

Heißt das, ich benötige noch eine statische Route, wenn ich unterschiedliche Rechner im internen Netz erreichen will?

 

Bei einem NAT-Verhältnis müsste jeder Rechner, der von aussen erreichbar sein soll, veröffentlicht werden.

Allerdings gibt es da dann das Problem, dass dann jeder Rechner entw. über eine eigene ext. IP angesprochen werden müsste, oder die RDP-Ports verbogen werden müssen.

NAT und Route gleichzeitig geht m.W. nicht.

[INXS 10]

Gibt es keine Möglichkeit den ISA mitzuteilen, dass RDP von einer externen IP nach intern erlaubt ist?

[Cybquest 36]

Wenn über die ext. Schnittstelle viele int. Rechner verwaltet werden sollen, wäre es ja evtl. die bessere Lösung, zuerst einen VPN-Tunnel aufzubauen um dann selbst eine int. IP zu bekommen. Dann kannst du alle Rechner per RDP verwalten, ohne diese veröffentlichen zu müssen.

[INXS 10]

Der externe Client könnte eine Virtuelle IP über den Router sein, ein XP Client, ein Client mit Windows CE oder PocketPC im externen Netz. Deshalb ist ein VPN Tunnel schwer zu realisieren.

 

Eigentlich will ich genau das hier:

RDP-Serververöffentlichung

Genau so habe ich die Einstellungen konfiguriert.

Auch über die zweite Möglichkeit:

RDP-Serververöffentlichung 2

hat es nicht funktioniert.

Beim Logging ist auch zu sehen, dass die Pakete verworfen werden.

Laut Regel sollte der Absender, Empfänger und Port aber erlaubt sein.

Könnte es sein, dass der ISA für Anfragen von extern eine zusätzliche Route

nach intern benötigt?

Mir ist nicht klar, warum der ISA die Pakete herausfiltert.