Jump to content

RDS + Gateway

Stefan W

Von Stefan W
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Stefan W Mentor

Stefan W   14

Geschrieben
Geschrieben

Grüß euch,

bin gerade dabei eine Kleinigkeit zu testen.

 

Ziel ist folgendes.

2 Mitarbeiter mit Clients mit Windows 8 sollen, ohne VPN aufbauen zu müssen, auf einen Terminalserver (RDS) Basis Server 2012 kommen. -->RDS Gateway(RDGW) Basis Server 2012

IP Konfiguration

Der RDS hat eine interne IP (172.16.16.16) und ist Domainmember.

Der RDGW steht in einer DMZ und hat eine DMZ IP (192.168.1.123), welche via static NAT auf eine externe übersetzt wird (8.8.8.8) und ist KEIN Domainmember

 

Auf dem RDGW sind folgende Settings getroffen worden:

selbstsigniertes Zertifikat (am externen Testclient installiert)

RAP:

Usergroup "RDP-Users" (Member: RDP-test1, RDP-test2)

Netzwerkressource (vom RDGW verwaltete Gruppe) 172.16.16.16

Ports: 3389 only

CAP:

Benutzergruppenmitgliedschaft "RDP-Users" (Member: RDP-test1, RDP-test2)

 

Auf der Firewall sind folgende Settings getroffen worden:

NAT von 8.8.8.8 auf 192.168.1.123

ACL: 443 allowed (von any to 8.8.8.8)

ACL: tcp/3389 allowed (von 192.168.1.123 to 172.16.16.16)

 

Folgendes Testscenario:

RDP von 192.168.1.123 auf 172.16.16.16 - check (somit passt die Kommunikation durch die Firewall)

 

Am externen Client den rdp client geöffnet,

unter Computer die 172.16.16.16 eingetragen, unter erweitert den Namen eingetragen des RDGW (der der im selbstsignierten Zerifikat steht - in der hosts Datei die 8.8.8.8 dem namen des RDGW zugeordnet)

Authentifizierung am RDGW mit RDP-Test1 erfolgreich (somit passt die verbindung vom externen Client, zum RDGW durch die Firewall)

Danach kommt der Fehler:

Der Computer kann keine Verbindung mit dem Remotecomputer herstellen, da ein Fehler auf dem Remotecomputer aufgetreten ist. Wenden Sie sich....

 

Ich bin mir zu 90% sicher dass hier ein Denkfehler vorliegt, kann mir jemand, der soetwas im Einsatz hat, den Tritt in die richtige Richtung geben?

 

Danke

Link zu diesem Kommentar
PathFinder Experienced

PathFinder   10

Geschrieben
Geschrieben

Hi,

 

hast du Remote Desktop Webaccess auch mitinstalliert?

 

Mal ganz unabhängig von der RD-Gateway Konfiguration wo wirklich alles bis ins letzte Detail stimmen muss damit eine Verbindung zu stande kommt.

 

Kannst du vom externen Client aus https://(sub).domain.de/rdweb aufrufen?

 

Mein Ansatz bezieht sich noch auf eine 2K8R2 Umgebung, ich unterstell jetzt mal das dies bei 2012 so auch noch möglich ist.

 

Ansonsten: ignorier mich einfach :P

 

Edit:

Nach dem ich es noch zweimal gelesen habe, wirst du wohl so auch nicht den Weg testen können. Normalerweise kann man so schön sehen ob der grundsätzliche Weg stimmt, unabhängig von den RDG-Server Details. Aber du hast den TS und den RDG-Server getrennt. Da wird dieser Test nicht viel helfen.

 

sry

Link zu diesem Kommentar
Stefan W Mentor

Stefan W   14

Geschrieben
  • Autor
Geschrieben
Hi,

 

hast du Remote Desktop Webaccess auch mitinstalliert?

Hi,

nein hatte ich nicht, habe ich nun aber nachinstalliert.

Mal ganz unabhängig von der RD-Gateway Konfiguration wo wirklich alles bis ins letzte Detail stimmen muss damit eine Verbindung zu stande kommt.

ich weiß, deswegen hänge ich ja :)

Kannst du vom externen Client aus https://(sub).domain.de/rdweb aufrufen?

Nachdem ich es nachinstalliert hatte, ja.

Mein Ansatz bezieht sich noch auf eine 2K8R2 Umgebung, ich unterstell jetzt mal das dies bei 2012 so auch noch möglich ist.

Davon muss man ausgehen können :)

Edit:

Nach dem ich es noch zweimal gelesen habe, wirst du wohl so auch nicht den Weg testen können. Normalerweise kann man so schön sehen ob der grundsätzliche Weg stimmt, unabhängig von den RDG-Server Details. Aber du hast den TS und den RDG-Server getrennt. Da wird dieser Test nicht viel helfen.

richtig

 

Reicht die SSL-Kette den bis zum TS durch?

nein, es ist eigentlich rein zum Testen - und eigentlich dafür gedacht um die Performanceverluste zu kaschieren, die wir mit einer VPN Verbindung haben.

Das Zertifikat ist vom RDGW selbst ausgestellt und signiert. - jedoch (zum Testen) am externen Client installiert worden und als vertrauenswürdige Stammzert hinterlegt worden

 

Zwischenfrage:

ich benötige lediglich eine tcp/443 Verbindung zum RDGW und vom RDGW eine tcp/3389 Verbindung zum RDS - korrekt?. Ich möchte die Firewall als Fehlerquelle ausschließen.

Link zu diesem Kommentar
PathFinder Experienced

PathFinder   10

Geschrieben
Geschrieben

Zwischenfrage:

ich benötige lediglich eine tcp/443 Verbindung zum RDGW und vom RDGW eine tcp/3389 Verbindung zum RDS - korrekt?. Ich möchte die Firewall als Fehlerquelle ausschließen.

 

------------------------------------------

 

Terminal Services Gateway

 

Terminaldienste laufen auch über das Internet flott und komfortabel. Wie erwähnt, nutzt das RDP-Protokoll Port 3389 – welcher in so gut wie keinem Unternehmen an der Firewall freigeschaltet ist. Für das Tunneling von RDP in HTTPS musste bisher auf Drittanbieter ausgewichen werden. Manch einer ist auch mit der RC4 Verschlüsselung nicht wirklich glücklich.

 

Das TS-Gateway ändert diesen Umstand. Der Remotedesktop Client verschlüsselt den Datenverkehr mit Hilfe von Zertifikaten und terminiert eine HTTPS Verbindung am TS-Gateway. Dieser packt die Pakete wieder aus und leitet selbige als klassische RDP-Verbindung zum Ziel. Ein Segen!

 

Quelle: Lernschmiede.de

 

was anderes:

 

was hast du auf dem TS unter dem Remotedesktop Sitzungshostserver bei den Punkten:

 

- Allgemein -> Sicherheit -> Sicherheitsstufe und Verschlüsselungsstufe ausgewählt?

Link zu diesem Kommentar
Stefan W Mentor

Stefan W   14

Geschrieben
  • Autor
Geschrieben

Hi,

Danke für den Auszug ;) das beschreibt den Grund warum ich dies so verwenden will.

was anderes:

 

was hast du auf dem TS unter dem Remotedesktop Sitzungshostserver bei den Punkten:

 

- Allgemein -> Sicherheit -> Sicherheitsstufe und Verschlüsselungsstufe ausgewählt?

Hier habe ich TLS 1.0 und Clientkompatibel ausgewählt

 

Ich habe es gerade nochmals getestet.

Siehe da es funktioniert.

Was im Endeffekt schuld war, gilt es noch zu klären.

Trotzdem danke für die Unterstützung

Link zu diesem Kommentar
  • 2 Wochen später...
PathFinder Experienced

PathFinder   10

Geschrieben
Geschrieben

Servus Stefan,

 

ich glaube ich habe jetzt genau dasselbe Problem ;P

 

RDGW unter 2K8R2 war ja wirklich im Handumdrehen aufgesetzt. bei 2012 verzweifle ich langsam.

 

Ich habe eine ganz einfache Konstellation:

 

- Fritzbox -> 443 -> Server2012 mit Remotedesktopgateway Rolle und dem was er sich selber dazu holt IIS / RPCoHTTP Proxy etc.

 

Ich habe ein offizielles Zertifikat.

 

Eine der SANs ist rdg.domäne.de

 

Das Zertifikat ist dem RDGW bekannt gemacht.

 

AD-Gruppe erstellt, Nutzer rein.

 

CAP und RAP konfiguriert.

 

Alles wie immer.

 

Fakt ist er lässt mich nicht durch!

 

Immer die Meldung mit dem „Fehler auf Remotecomputer"

 

Ich glaube es scheitert etwas an der Authentifizierung im/über den IIS.

 

Im Sicherheits-Eventlog sehe ich auch fehlgeschlagene Anmeldungen.

 

Habe jetzt schon 3x neuinstalliert und alles von vorne gemacht (Testumgebung)

 

Einmal hat es "zufällig / willkürlich" geklappt.

 

So was habe ich auch schon im Internet gelesen.

 

Habe das ganze WE damit zugebracht.

 

Ich kapiere es nicht =/

 

Hast du mittlerweile was Handfestes gefunden?

 

Gruß der Path

Link zu diesem Kommentar
PathFinder Experienced

PathFinder   10

Geschrieben
Geschrieben

Ich habe nur die Remotedesktopgateway Rolle installiert und will einen reinen Remotegateway. Habe es per Zugriff von aussen (Windows7) auf einen weiteren 2012 Server und einen Windows8 Client (beide in der Domäne) probiert, oder was genau meinst du?

 

Der DC der auch die RDGW Rolle hält ist mit seinem FQDN als Farmmitglied in der RDGW-Rolle eingetragen. Der unterste Punkt nach CAP und RAP Konfiguration.

Link zu diesem Kommentar
Stefan W Mentor

Stefan W   14

Geschrieben
  • Autor
Geschrieben

also CAP hab ich folgende Settings:

Wenn User Mitglied folgernder Gruppen:

RDGW/RDP-Users

Wenn ClientPC Mitglied folgender Gruppen:

keine

Wenn Authentifizierungsmethode

Kennwort

Rest:

nicht zutreffend

 

RAP:

Benutzergruppe definiert

Netzwerkressource (Zielserver) definiert

Ports auf 3389 reduziert

 

bei dir gleich?

 

am rdp gate direkt kannst du mit rdp auf den Zielserver rauf?

Link zu diesem Kommentar
PathFinder Experienced

PathFinder   10

Geschrieben
Geschrieben

Habe ich auch so, bis auf die Netzwerkressource da ist erstmal jedes Ziel zulässig.

 

Habe aber was im Terminal Server Gateway Log gefunden (Ereignisanzeige)

 

ID:201 Quelle: TerminalServices-Gateway

Der Benutzer "DOMÄNE\USER" auf dem Clientcomputer "xxx.xxx.xxx.xxx" hat die Anforderungen der Verbindungsautorisierungsrichtlinie nicht erfüllt. Daher wurde der Zugriff auf den Remotedesktop-Gatewayserver verweigert. Als Authentifizierungsmethode wurde "NTLM" und als Verbindungsprotokoll wurde "HTTP" verwendet. Fehler: "23003".

 

suche gerade schon, das geht auch in die Richtung der Meldung des Sicherheitslogs.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...