cityempire 10 Geschrieben 3. Mai 2016 Melden Teilen Geschrieben 3. Mai 2016 Hallo, bin gerade am testen einer neuen Remote Desktop Farm. Das klappt auch soweit, bis auf Extern. Die Anleitungen die ich gesehen habe gingen darauf nicht ein, leider. Umgebund w12rdpgw.firma.intern (Verbindungsbroker, WebAccess (für Intern) w12lic.firma.intern (Lizenzserver) w12web.Firma.intern (WebAccess Extern) w12rdp01.Firma,intern w12rdp02.Firma,intern w12rdp03.Firma,intern Eine Sammlung verteilt auf alle drei Sitzungshosts "Desktop" Eine Externe Adresse: extern.firma.de -> nur Port 443 geht über eine FW an den w12web.firma.intern Wenn ich nun folgende URL intern aufrufe klappt alles: https://w12web.firma.intern/rdweb Ich bekomme die Anmeldeseite und nach der Anmeldung bekomme ich die Sammlung, klicke ich die Samlung an, öffnet sich der Desktop. Wenn nun die URL https://extern.nld.de aufgerufen wird (von Extern), erscheint wieder die Anmeldeseite, nach der Anmeldeseite die Sammlung. Wenn ich die Sammlung auswähle verbindet er sich mit der Sammlung und nach kurzer Zeit erschein ein Fehler: Ein Authentifizierungsfehler ist aufgetreten Code 0x607 Server w12rdp02 Wo liegt hier mein Denkfehler bzw. wo kann ich suchen ? Gruß Bernd Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 3. Mai 2016 Melden Teilen Geschrieben 3. Mai 2016 Moin, ich muss zugeben, dass ich den Aufbau nicht ganz durchschaue. Warum gibt es zwei WebAccess? Du benötigst zusätzlich einen RDS Gateway für den externen Zugriff. WebAccess und RDS Gateway benötigen einen externen FQDN; der Connection Broker benötigt einen externen Client Access Name. Für den internen Zugriff muss ggf. Split DNS eingerichtet werden. https://gallery.technet.microsoft.com/Change-published-FQDN-for-2a029b80 http://www.rdsgurus.com/ssl-certificates/windows-2012-r2-how-to-create-a-mostly-seamless-logon-experience-for-your-remote-desktop-services-environment/ Zitieren Link zu diesem Kommentar
cityempire 10 Geschrieben 6. Mai 2016 Autor Melden Teilen Geschrieben 6. Mai 2016 Moin, hat ein wenig gedauert, aber mein English ist nicht ganz so perfekt. Ich habe mir jetzt nur den Ersten Link als Anhaltspunkt genommen und mein Design abgeändert. Warum ich zwei WebAccess hatte, auf dem RemoteGW kann nur ein Zertifikat installiert sein, so lautete zumindest die Fehlermeldung und ich wollte den Webaccess von Intern und Extern Trennen. Das hat sich aber mit der Erklärung im ersten Link erübrigt. Fand ich überaus hilfreich. Wo ich noch schauen muss, ob ich ein Denkfehler habe, ist die Freigabe der Sammlung, dieser wird im Zertifikat immer noch als Intern ausgelegt. Ansonsten ist nun überall die Externe Domain im Einsatz. Ich werde mir das ganze am Wochenende anschauen, dann habe ich auch die Möglichkeit Extern zu testen. Melde mich dann ob es klappt oder ob noch was offen ist. Bis dahin, Gruß Bernd Zitieren Link zu diesem Kommentar
cityempire 10 Geschrieben 10. Mai 2016 Autor Melden Teilen Geschrieben 10. Mai 2016 Hallo, neuer Status. Nachdem ich das ganze umgebaut habe, mit Hilfe der Website habe ich folgendes abgeändert: WebAccess und Remote GW auf einen Server gelegt. den w12web habe ich aufgelöst. Split DNS wurde eingerichtet für die Externe Domäne im Internen Netz. Ergebnis: Intern: mstsc rdp-Standard.Firma.de (zugriff klappt) https://extern.firma.de/rdweb (liegt auf dem w12rdpgw.firma.intern) -> Login erfolgreich Nach dem starten des Destop "rdp-Standard" wird die Authentifizierung gestartet. Laut Log auch erfolgreich. Die Richtlinien Sätze werden auch erfolgreich abgeschlossen. Danach erscheint die Meldung wieder: "Authentifizierungsfehler Code 0x607. Extern: noch nicht getestet, wenn die Interne schon nicht geht. Was ich dazu noch gefunden habe war folgender Beitrag: https://social.technet.microsoft.com/Forums/sharepoint/en-US/94780a11-23ba-4a3c-b11a-734007c2d2fd/an-authentication-error-has-occured-code-0x607?forum=winserverTS den Vorletzten Eintrag habe ich nicht ganz verstanden. Den Part mit der GPO. Gruß Bernd Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 10. Mai 2016 Melden Teilen Geschrieben 10. Mai 2016 Was für ein Zertifikat wird verwendet? Ein offizielles, aus einer internen PKI oder ein selbstsigniertes? Zitieren Link zu diesem Kommentar
cityempire 10 Geschrieben 11. Mai 2016 Autor Melden Teilen Geschrieben 11. Mai 2016 ein Offizielles Wildcard Zertifikat. Das Zertifikat ist als Vertrauenswürdiges Stammzertifikat hinterlegt und als Remotedesktop. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 11. Mai 2016 Melden Teilen Geschrieben 11. Mai 2016 Wenn Du ein offizielles Server-Zertifikat hast, hinterlegt man das garantiert nicht als "Vertrauenswürdiges Stammzertifikat"... Zitieren Link zu diesem Kommentar
cityempire 10 Geschrieben 12. Mai 2016 Autor Melden Teilen Geschrieben 12. Mai 2016 Das ist das Problem mit denn Zertifikaten, für mich noch ein Neuland. Bisher brauchte ich es nicht und in einer Anleitung zum Aufbau einer Farm stand das so. Hast du eine Gute Beschreibung oder Link zum Thema Zertifikate ? Wenn möglich in Deutsch, da mein englisch nicht ganz so gut ist. Nun zum Fehler, mit den Servern kann ich immer noch keine Verbindung aufbauen, daher habe ich nun einfach mal einen Server Sauber neu installiert und eine Neue Sammlung eröffnet. Hier klappt der Verbindungsaufbau Intern wie auch Extern. Leider gibt es einen unschönen Unterschied. Intern wird die Anmeldung sauber durchgereicht und Extern wird beim Verbindungsaufbau der Username, Domäne und Kennwort erneut abgefragt. Hier ein Tip? Und ohne eine Debatte loszutreten, ist es aus Sicherheitsgründen oder Betriebsgründen sinnvoll den Webaccess und das GW auf einen Server zu packen ? würde mir eine Externe Registrierung sparen und den Nutzern eine weitere URL. Danke für die Hilfe. Habe in den letzten Tagen viel gelernt. Gruß Bernd Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 12. Mai 2016 Melden Teilen Geschrieben 12. Mai 2016 Mit deutschen Quellen wird es schwer, aber es gibt google translate Auf Ryans blog finden sich einige gute Artikel zum Thema RDS; die 2012'er Artikel passen zum größten Teil auch für 2012 r2 https://ryanmangansitblog.com/2013/03/10/configuring-rds-2012-certificates-and-sso/ https://ryanmangansitblog.com/2013/03/27/deploying-remote-desktop-gateway-rds-2012/ Ich würde grundsätzlich alle Rollen trennen. Das verbessert die Skalierbarkeit der Umgebung und erleichtert ggf. künftige Migrationen. Die Benutzer benötigen keine weitere url, wenn der Gateway auf einer anderen Maschine läuft. Die Benutzer brauchen nur die WebAccess Adresse, der Rest läuft im Hintergrund und ist für den Anwender transparent. Wie man es im Deatil umsetzen kann, mehrere Hostnamen, Reverseproxy, mehrere öffentliche IPs etc., müsste noch überlegt werden. Zitieren Link zu diesem Kommentar
Beste Lösung cityempire 10 Geschrieben 16. August 2016 Autor Beste Lösung Melden Teilen Geschrieben 16. August 2016 Hallo, Ewigkeiten und einen Urlaub später habe ich für mich eine Lösung gefunden: Kurzer Aufbau: SessionHost: w12rdsh.contoso.intern ConnectionBroker: w12rdcp.contoso.intern (cb.contoso.de und Connection rdp-extern) GW: w12rdgw.contoso.intern (extern: rdgw.contoso.de) (hier liegt auch der webaccess) Im Anschluss die Zertifikate Verteilt. (in meinem Fall für *.contoso.de) wenn ich nun eine Connection aufgebaut habe, bekommt man einen Fehler. Name passt nicht zum Zertifikat. In meinem Fall hat es nun gereicht den alternate full address zu setzen. Set-RDSessionCollectionConfiguration –CollectionName rdp-extern -CustomRdpProperty “use redirection server name:i:1 `n alternate full address:s:cb.contoso.de” Alle Server stehen bei mir im Netz und die FW regelt den https Verkehr zum GW. Der Externe DNS muss nur auf GW gesetzt werden. Anfangs hatte ich es mit einem Script von Microsoft getestet set-rdpublishedName.ps1, dort hate ich aber den Fehler, das ich keine Verbindung mehr aufbauen konnte. Mit Freundlichen Grüßen Bernd Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.