Frage zu Domain Name - interner Name und Zugriff von außen

[Matze1708 10]

Hallo,

 

ich habe mal eine Frage,

 

ich habe eine Windows Domain innerhalb ein paar wenigen Server

DC

RD

IIs

 

die sich svva.intra nennt.

 

wenn ich nun den Gedanken hege, über das RD Gateway von aussen auf den RD server zu zu greifen.

benötigte ich doch auf diesem server den Namen der Domain, von der ich aussen kommen?

 

z.b.

rd.svva.de

 

oder wie muss ich das verstehen?

 

wo füge ich die dazu?

 

im RD Gateway oder im DNS?

 

ich benötigte dann ja ein Zertifikat was auf dir externe Domain zeigt

[NilsK 2.968]

Moin,

 

solche Anbindungen laufen typischerweise über einen Reverse Proxy. Der stellt nach außen die Verbindung über einen externen Namen bereit und leitet die Verbindung dann nach innen um. Dadurch können die Namen sich unterscheiden.

 

Gruß, Nils

 

[Matze1708 10]

Wie ist das dann mit den Zertifikaten?

 

die passen doch dann nicht mit den internen und der externen URL überein?

[Dukel 457]

Nach den Zertifikaten hast du gar nicht gefragt!

Es müssen ins Zertifikat alle DNS Namen, auf die die Clients zugreifen. Ggf. brauchst du Split DNS.

[Matze1708 10]

Der letzte Satz in meinen Ersten Posting, hatte sich vorsichtig daran gerichtet.

 

Um den RD Server ins Netz zustellen , könnte ich auch einfach die Regeln in die Router Firewall eintragen.

 

dann habe ich aber das thema, das nicht wirklich jemand was mit den Apps oder dem RD anfangen kann, weil die fehlenden Zertifikate das verhindern.

 

würde gern nur ganz simpel den IIS an RD gateway mit Port 443 oder einem anderen sicheren ins Internet hängen und dann dahinter den RD Server samt apps anzeigen oder den zugriff darauf erlauben.

 

es ist halt eine sehr kleine Struktur ich überlege grade, ob sich der Aufwand überhaupt lohnt.

 

würde halt auch gerne mit kostenlosen oder günstigen Zertifikaten arbeiten, 

oft wird ja Wildcard Zertifikat empfohlen 

[NorbertFe 2.089]

vor 2 Minuten schrieb Matze1708:

oft wird ja Wildcard Zertifikat empfohlen 

Echt? Wo?

[Matze1708 10]

Ich lese das oft in Foren und in Youtube Videos, 

das es einfacher ist, wenn man mehrere Server hat, die man durchquert bei der Verbindung zum RD Server.

dann wäre es einfacher zu konfigurieren.

 

gerne lasse ich mich auch eines besseren belehren.

[Dukel 457]

Bei Zertifikaten ist immer die Frage ob du alle Clients, die auf das RD Gateway zugreifen, unter kontrolle hast. Wenn das alles gemanaged Clients sind kannst du ein Self-Signed Zertifikat oder ein Zertifikat von einer Eigenen PKI mit beliebigen DNS Namen verteilen. Wenn das nicht alles bekannte Clients sind (z.B. Internet Cafe, private Rechner, ...) dann brauchst du ein Öffentliches Zertifikat (bzw. das Root Zertifikat ist in den Zertifikatsstores von z.B. Browsern und OS vorinstalliert). Dabei gibt es von den CA's normalerweise die "Einschränkung", dass keine internen Namen erlaubt sind. Da brauchst du dann Split DNS (d.h. das RD Gateway ist (unter anderem) mit dem externen Namen auch intern erreichbar.

[testperson 1.728]

Hi,

vor 5 Minuten schrieb Matze1708:

würde halt auch gerne mit kostenlosen oder günstigen Zertifikaten arbeiten, 

da würde sich ggfs. Let's Encrypt anbieten. Die haben auch Wildcard. :P

 

In deinem Fall würde vermutlich ein Zertifikat mit einem passenden Host reichen. Die gibt es bei PSW ab ~30€. Des Weiteren müsstest du den RDClientAccessName anpassen: https://gallery.technet.microsoft.com/Change-published-FQDN-for-2a029b80

 

Ansonsten wäre natürlich auch noch ein Citrix ADC Freemium / Free Loadmaster von Kemp / HA Proxy / ein sonstiger Reverse Proxy eine Option.

 

Gruß

Jan

[Matze1708 10]

Das heisst, 

 

ich müsste im DNS noch zusätzlich eine Zone eintragen, die so heisst wie meine externe Domain?

 

auf der Externen Domain (1&1)müsste ich dann einen  CNamen auf die Adresse nach intern legen. Bzw auf den DynDns Dienst

[Matze1708 10]

Zitat

In deinem Fall würde vermutlich ein Zertifikat mit einem passenden Host reichen. Die gibt es bei PSW ab ~30€. Des Weiteren müsstest du den RDClientAccessName anpassen: https://gallery.technet.microsoft.com/Change-published-FQDN-for-2a029b80

 

Mit meinem Laienhaften denken, habe ich an genau sowas gedacht.

 

nur das dann das Gateway diesen Namen bekommt und ich beim Hoster nen DNS Eintrag auf meinen DynDnS einstelle und per Firewall kommt dieser RD Server raus

 

in diesem Szenario würde dann ein Zertifikat auf den RD Gateway Host reichen?

Edit:

ich denke das wäre die einfachste Art.

 

könnte ich die VPN „sparen“

[Dukel 457]

Du kannst entweder eine Zone mit dem externen DNS Namen erstellen, musst dann aber auch alle externen IPs pflegen, die erreichbar sein sollen.

Oder eine Zone mit dem externen Hostnamen und nur einem A Record "."

[Matze1708 10]

Sorry, ich muss aber nochmal doof fragen.

 

habe jetzt auf dem IIS das RD Gateway und den RD WebAccess hinzufügt.

 

portweiterleitung von aussen auf die IP und den port des IIs

 

habe erstmal ein Selbst signiertes Zertifikat erstellt, mit der URL der externen Adresse.

 

remote.xxx.de

 

wenn ich das rd web aufrufe, kann ich mich anmelden und die Apps sehen.

will ich mich verbinden, bekomme ich die Meldung das ich mich nicht auf TS1.svva.intra verbinden kann.

 

[Sunny61 809]

vor 36 Minuten schrieb Matze1708:

will ich mich verbinden, bekomme ich die Meldung das ich mich nicht auf TS1.svva.intra verbinden kann.

Dann darf der User sich nicht per RDP auf den Server verbinden. Wie meldest Du dich an? Domain\User oder User@domain.TLD

[Matze1708 10]

Der user ist in der Gruppe GG_TS_Remote

diese gruppe ist auf dem TS1 als Gruppe in der Richtlinie drin.

 

Der User ist auch Mitglied dieser Gruppe.

angemeldet hatte ich mich mit Domain\User