Jump to content

Server 2012 R2 Remote Desktop Services


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Guten Tag Forum,

 

dieses Mal habe ich eine Frage aus einem mir noch recht neuen Bereich, aber erst einmal die Umgebung:

 

1x Server 2012 R2 als Verbindungsbroker  WebAccess und Lizenzserver

1x Server 2012 R2 als Remote Desktop Session Host

1x Server 2012 R2 als Remote Desktop Gateway

 

Gestern habe ich diese nicht produktive Umgebung installiert und soweit funktioniert auch alles ohne Probleme. Mein Ziel in der späteren Produktivumgebung ist es den RD WebAccess auch vom Internet aus zu ermöglichen. Die Absicherung ist dabei natürlich ein wichtiges Thema, kommt aber erst im zweiten Teil meiner Testumgebung dran.

 

Wenn ich mich aus dem lokalen Netzwerk mit dem RD WebAccess verbinde funktioniert der Zugriff nach erfolgter Anmeldung ohne Probleme. Jetzt dachte ich das Remote Desktopgateway ist auch für den WebAccess wie ein Proxy der einfach nur davor geschaltet wird und den Zugriff aber 1:1 vergleichbar ermöglicht. Kann es sein dass ich da einen Denkfehler habe! Ist das Remote Desktop Gateway auf für den Zugriff auf RemoteApp via WebAccess zuständig oder nur für den Zugriff auf eine komplette Desktop Session über den MSTSC Client (habe im Netzt auch immer nur dieses als Beispiel gefunden)? 

 

Beispiel für mein Verständnisproblem:

 

https://fqdn desServers mit Rolle WebAccess/RDWeb .............Zugriff auf die WebAccess Seite und damit auf die RemoteApps möglich

 

https://fqdn des Servers mit der Rolle Remotedesktop Gateway/RDWeb..............Kein Zugriff auf die Seite mit den RemoteApps möglich

 

Habe ich einen falschen Ansatz?

Ist das RD Gateway für RemoteApps nicht gedacht?

Wird die Rolle WebAccess direkt im Internet veröffentlicht?

muss etwas nachkonfiguriert werden?

bearbeitet von donnervogel515
Link zu diesem Kommentar

Moin,
 

Habe ich einen falschen Ansatz?

Der Ansatz ist grundsätzlich richtig.
 

Ist das RD Gateway für RemoteApps nicht gedacht?

Dem RDS Gateway ist es egal, ob RemoteApps oder ein Desktop veröffentlicht wird.
 

Wird die Rolle WebAccess direkt im Internet veröffentlicht?

Sollte gemacht werden. Eventuell auch in Kombination mit dem Web Aplication Proxy (WAP) und ADFS
 

muss etwas nachkonfiguriert werden?

 Vermutlich ja, sonst würde es ja funktionieren wink.gif
 
Ryan hat auf seinem Blog eine ganze Reihe Artikel zum Thema:
http://ryanmangansitblog.com
 
 

Beispiel für mein Verständnisproblem:
 
https://fqdn desServers mit Rolle WebAccess/RDWeb .............Zugriff auf die WebAccess Seite und damit auf die RemoteApps möglich

Nicht ganz korrekt. Die Website oder Feed stellen nur Verbindungsinformationen für die Client bereit. Der Verbindungsaufbau zu den RDS Ressourcen erfolgt unabhängig.

Genauer: Es wird der Broker kontaktiert und beim Verbindungsaufbau, wird die angeforderte Ressource (Bspw. Name der Sammlung und RemoteApp) als Parameter mitgegeben. Der Broker leitet die Verbindung an einen passenden RDS Session Host um.

Im mstsc können die Parameter zu Sammlung etc. nicht angegeben werden, daher ist ein manueller Aufruf nicht repräsentativ.
 

https://fqdn des Servers mit der Rolle Remotedesktop Gateway/RDWeb..............Kein Zugriff auf die Seite mit den RemoteApps möglich

Der Gateway ist keine Webanwendung, sondern ein Anwendungsgateway.
 

Link zu diesem Kommentar

Danke für die ausführliche Antwort....werde mich heute Abend wieder auf meine Umgebung stürzen und das Ganze noch einmal mit deinen Punkten ergänzen. Glaube ich habe es jetzt verstanden......

 

Danke ich werde mich noch einmal melden


Eine weitere Frage habe ich zu dem Thema spontan noch. Wie kann ich es am elegantesten regeln, dass sich Benutzer nur via RemoteApp und nicht mit einer vollen Remote Desktop Session anmeldet? Habe zwar einige Hinweise im Web gefunden, aber diese sind meist auf frühere Versionen gemünzt und ich kann mir nicht vorstellen, dass es keine eingebaute Lösung von Microsoft gibt und man auf ein selbst erstelltes Abmeldescript zurückgreifen muss.

Link zu diesem Kommentar

Du kannst nicht verhindern, dass ein berechtigter Benutzer sich manuell mit dem Session Host verbindet.

Am Besten ist es, den Session Host per GPO so zuzunageln, dass nur noch 'Abmelden' zur Verfügung steht. Der Session Host sollte ohnehin gehärtet werden, um Fehlbedienung/Missbrauch via Öffnen/Speichern Dialog etc. zu verhindern.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...