rt1970 10 Geschrieben 7. April 2017 Melden Teilen Geschrieben 7. April 2017 (bearbeitet) Hallo! Bin mir nicht sicher ob meine Idee so möglich ist... Deshalb frag ich hier mal die Profis! Folgender Plan: Client -> Internet -> Router mit Portforwarding https -> SBS2011 -> RDP auf Server 2008 Hintergrund: ich möchte nicht den RDP Port 3389 im Internet freigeben. https 443 ist eh schon für den Exchange zum SBS geforwardet. Diesen möchte ich nutzen um auf einen anderen Server, auf dem schon RDP läuft, zuzugreifen. Soweit ich gelesen habe, sollte es mit dem TS-Gateway funktionieren. Meine Idee: diesen Gateway auf dem SBS2011 installieren und so konfigurieren, dass der auf den Server 2008 verweist. Ist das mit dem SBS 2011 möglich? Brauch ich dafür ein gültiges Zertifikat? Denn das jetzige Zertifikat bringt die Meldung: "Das Zertifikat kann nicht bis zu einer Zertifizierungsstelle verifiziert werden". Da die Clients aus der Domäne genommen werden brauchen die wohl in anderes Zertifikat, oder? bearbeitet 7. April 2017 von rt1970 Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 7. April 2017 Melden Teilen Geschrieben 7. April 2017 Hi, auf dem SBS läuft bereits der Remote Web Access. Damit dort auch Terminalserver angezeigt werden musst du die Registry anpasssen. http://www.itsupportkb.com/sbs2011/add-terminal-server-rds-to-sbs-2011-remote-web-workplace-rww Das Zertifikat der SBS CA sollte dann als vertrauenswürdiges Root CA auf den Clients importiert werden. Gruß Jan Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 7. April 2017 Melden Teilen Geschrieben 7. April 2017 (bearbeitet) Dein Problem wird zunächst sein, mehr als einen Server per SSL über den gleichen Port zu erreichen (Exchange und RDP). Da brauchst Du am Endpunkt einen SSL-Reverse-Proxy, der auch SNI unterstützt. Der würde die Zugriffe dann intern auf die beiden Server umleiten. Der IIS kann das wohl im Prinzip. Gemacht habe ich das noch nicht. Schau mal, ob Du damit etwas anfangen kannst: https://blogs.msdn.microsoft.com/friis/2016/08/25/setup-iis-with-url-rewrite-as-a-reverse-proxy-for-real-world-apps/ bearbeitet 7. April 2017 von zahni Zitieren Link zu diesem Kommentar
rt1970 10 Geschrieben 7. April 2017 Autor Melden Teilen Geschrieben 7. April 2017 (bearbeitet) Durch importieren des CA-Zertifikats ist das Zertifikat nun gültig. Das wäre erledigt. auf dem SBS läuft bereits der Remote Web Access. Damit dort auch Terminalserver angezeigt werden musst du die Registry anpasssen. Funzt das dann auch ganz normal mit "mstsc" aus Windows >7? Eventuell sogar für RemoteApps? MSTSC: "Vom Computer kann keine Verbindung mit dem Remotecomputer hergestellt werden, da kein Zertifikat für die Verwendung auf dem RemoteDesktop-Gatewayserver konfiguriert wurde." bearbeitet 7. April 2017 von rt1970 Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 7. April 2017 Melden Teilen Geschrieben 7. April 2017 AFAIK klappt das. Einfach per Firefox den RWA aufrufen und die RDP Datei runterladen und speichern. Da sind dann die Informationen wie Gateway, etc. drin. RemoteApp funktioniert AFAIK nicht. Für RemoteApp sollten alle Anwendung vorab intensiv getestet werden. Danach hat sich meistens RemoteApp erledigt. Zitieren Link zu diesem Kommentar
rt1970 10 Geschrieben 7. April 2017 Autor Melden Teilen Geschrieben 7. April 2017 (bearbeitet) dism /online /Enable-Feature:Gateway-UI auf dem SBS nachinstalliert. Dann in der Gateway-Verwaltung das Zertifikat vom Exchange auf dem SBS gewählt und schon ging es. Problem noch: Er fragt 2x nach Username/Passwort... Allerdings nur mit reinem mstsc. Mit der erstellten rdp gibt es "nur" das Problem mit dem ungültigem Zertifikat des TS... Provisorische Lösung: rdp mit Editor öffnen und Authentication Level auf :0 gesetzt. Wie kann ich auf dem TS das gleiche Zertifikat zuweisen? Oder ein gültiges Zertifikat erstellen? Der TS ist in der Domäne aber kein DC und die RDP-Clients in einer anderen Domäne... bearbeitet 7. April 2017 von rt1970 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.