TS-Webzugriff und Netzwerkdesign

[lionheart 12]

Hallo Leute,

 

ich möchte Mitarbeitern HomeOffice per TS-Webzugriff (ohne VPN) ermöglichen.

 

Mein Netzwerk ist über die Firewall in ein Perimeternetzwerk (192.168.150.0/24) und ein internes LAN (192.168.50.0/24) aufgeteilt. Im LAN befindet sich eine AD-Gesamstruktur (corp.lan) mit Windows Server 2012 DC (Server A). Zusätzlich ist im LAN ein Terminalserver (Windows Server 2008 R2 / Server B ) verfügbar. Die dort installierten Anwendungen möchte ich per TS-Webzugriff als RemoteApp bereitstellen. Der Server (Server C) für den TS-Webzugriff (inkl. TS-Gateway) wird sich in der DMZ befinden.

 

Nun habe ich zum Thema TS-Webzugriff insbesondere Netzwerkdesign (Sicherheit) verschiedene Microsoft Blogs und Technotes gelesen. Um Server C im Perimeternetzwerk zu platzieren, bin ich grundsätzlich auf die folgenden drei Möglichkeiten gestoßen:

 

1. Server C ist Mitglied der Domäne corp.lan. In der DMZ wird ein RODC eingerichtet. In der Firewall werden alle benötigten Ports für die AD-Kommunikation (RODC-Server A) zwischen LAN-DMZ geöffnet.

2. Server C ist Mitglied der Domäne corp.lan und in der Firewall werden alle benötigten Ports für die Kommunikation zwischen LAN-DMZ geöffnet.

3. In der DMZ wird eine neue AD-Gesamtstruktur (z.B. rdp-corp.lan) erstellt. Server C ist Mitglied der neuen Domäne. Es wird eine unidirektionale Vertrauensstellung eingerichtet um den Usern aus corp.lan Rechte in rdp-corp.lan zu erteilen. In der Firewall werden die Ports für die Vertrauensstellung freigeschaltet.

Variante 3 hat in meinen Augen die höchste Sicherheitsstufe. Bei den anderen Varianten müssen zu viele Ports in der Firewall geöffnet werden. Zudem möchte ich keinen DC mit "Echtdaten" in der DMZ haben.

 

Ich habe nun soweit alles für Variante 3 eingerichtet und kann von Extern mittels TS-Webzugriff per Remote-Desktop auf den WTS im LAN zugreifen. :jau:

 

Leider bekomme ich die RemoteApps aber nicht per TS-Webzugriff zum Laufen. Die RemoteApps sind auf dem WTS konfiguriert und funktionieren im LAN. Damit ich per TS-Webzugriff auf diese Apps zugreifen kann, muss ich Server C (rdp-corp.lan) auf dem WTS (corp.lan) in die Gruppe "Terminaldienste-Webzugriffscomputer" aufnehmen. Hier ist nun genau der Knackpunkt. Durch die unidirektionale Vertrauensstellung kann ich Server C nicht hinzufügen.

 

Entweder ich erstelle eine bidirektionale Vertrauensstellung oder ich verwerfe das neue AD in der DMZ und füge Server C zur internen Domäne hinzu. Ich glaube aktuell sehe ich den Wald vor lauter Bäumen nicht. Habe ich einen Denkfehler oder funktionieren die TS-RemoteApps nicht über unterschiedliche Domänen hinweg?

 

Was würdet ihr empfehlen? Wie habt ihr euren TS-Webzugriff realisiert?

bearbeitet 9. Mai 2014 von lionheart

[Daniel -MSFT- 129]

Schau mal hier unter 5. 5. RD Web Access and RD Gateway on the same server: http://blogs.msdn.co...wall-rules.aspx Hast Du den WMI fixed Port festgelegt und erlaubt für RemoteApp?

[lionheart 12]

Hallo,

 

ja habe ich. Genau nach diesem Blog habe ich alles konfiguriert. Der Zugriff per RDP-Client funktioniert ja auch. Die Schwierigkeit besteht nun darin, dem WTS im LAN das TS-Gateway aus der anderen Domäne zur Gruppe "Terminaldienste-Webzugriffscomputer" hinzuzufügen. Ich würde sagen hier gibts im besagten Blog einen Detailfehler, der genau an der Stelle scheitert. Mit einer eindimensionalen Vertrauensstellung bring ich den Server nie in die Gruppe rein.

[lionheart 12]

Kann mir keiner einen Tipp geben, wie er seinen TS-Webzugriff realisiert hat oder verwendet ihr alle CITRIX o.ä. Zusatzlösungen für einen webbasierten Zugriff?

[lionheart 12]

Letzter Versuch... :(

 

Auf welche Art & Weise stellt ihr euren Kunden oder Mitarbeitern Remote Desktop Dienste über das Internet zur Verfügung? Ein kurzer Tipp mit eurem Design würde mir schon reichen...