Jump to content

RDS-Farm - Welche Rollen zusammen auf einen Server?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

was willst Du veröffentlichen? Sollen die User direkt per RDP-Client von extern arbeiten oder über RD Web Access oder über den HTML5-Client. RD Web Access macht ja auch "nur" eine RDP-Verbindung, also nicht im Browser.

 

Zertifikate kaufst Du bei einem der öffentlichen Aussteller, wenn Du eigene ausstellst, achtest Du darauf, dass der Verbindungsname auch im SAN drinsteht, sonst gehen die Webseiten in allen gängigen Browsern nicht.

 

Grüße

Link zu diesem Kommentar

Hallo,

 

die User im lokalen Netz sollen den RDP Client von Windows nutzen (desktop Verknüpfung).

Die externen User sollen über den ReverseProxy auf RD-WebAccess (evtl. HTML5) kommen und von da RDP aufrufen können. (so meine Vorstellung)

 

Das mit dem SAN habe ich verstanden. Entweder ich habe ein Zertifikat für die Subdomain, welche genauso heist wie der DNS-Name der RDS-Farm, oder ein Wildcard Zertifikat.

Da der NGinx Reverse Proxy LetsEncrypt Zertifikate für die eingerichteten Subdomains verwendet, die automatisch verlängert werden, stellt sich zusätzlich mir folgende Frage.

Wie kann ich automatisiert diese Zertifikate der RDS Farm zu weisen, oder muss ich herausfinden, wie ich dem NGinx gekaufte Zertifikate zuweise?

 

MfG

Link zu diesem Kommentar

Mit dem HTML5 meinte ich den RDP-Client im Browser:

https://learn.microsoft.com/de-de/windows-server/remote/remote-desktop-services/clients/remote-desktop-web-client-admin

https://woshub.com/rds-html5-web-client/

vor 21 Stunden schrieb ITCUB:

Das mit dem SAN habe ich verstanden. Entweder ich habe ein Zertifikat für die Subdomain, welche genauso heist wie der DNS-Name der RDS-Farm, oder ein Wildcard Zertifikat.

Ich meinte das:

Die RFC fordert, dass die Identität nicht mehr durch den CN festgestellt wird, sondern durch einen oder mehrere DNS-Einträge im SAN.

https://tools.ietf.org/html/rfc2818

vor 21 Stunden schrieb ITCUB:

Wie kann ich automatisiert diese Zertifikate der RDS Farm zu weisen, oder muss ich herausfinden, wie ich dem NGinx gekaufte Zertifikate zuweise?

Ich mache das 1x im Jahr manuell.

 

Zu den Rollen, ich habe das so:

1x VM: Broker, Lizenz, NPS (nicht das was mit dem RDG installiert wird, sondern separat wegen Azure-MFA), RDWeb (nur intern)

Xx VM: Session Host (da ist nichts anderes drauf)

1x VM: RDG (Veröffentlichung über Reverse-Proxy mit Azure MFA)

 

Infrastruktur, Worker und Veröffentlichung ist so getrennt. Schöner wäre alles zu trennen, aber für meine Umgebung bin ich so zufrieden, auch wenn es so nicht perfekt ist.

 

Würde ich RDWeb oder den Zugriff über den HTML5-Client veröffentlichen, würde ich das mit auf den RDG packen. Veröffentlichen würde ich nur mit MFA oder VPN ebenfalls nur mit MFA.

 

Zur Frage, ob Du den RDG brauchst, wenn Du den NGinx als Reverse-Proxy hast. Wenn Du den RDP-Client mstsc oder die UWP-App verwenden willst, geht das meines Wissens nicht ohne. Außer halt den Port direkt freigeben, aber das macht man eigentlich nicht mehr.

 

Link zu diesem Kommentar

@wznutzer:

Das klingt doch vernünftig.

Das heist ich würde das folgendermaßen aufbauen:

Hinterm Reverse Proxy (NGinx) kommt 1 VM mit dem RDS Gateway + RDWeb + HTML5.

Der greift dann auf eine VM mit RDS Broker mit Lizenzserver zu, der die User dann auf 2-3 VMs als RDS Host mit FSLogix Client verteilt.

Das mit dem Azure MFA klingt auch ganz gut, da der Kunde sein AD mit Azure ADConnect syncronisiert und MS365 Dienste nutzt.

Was NPS ist, weis ich leider nicht.

Wäre es möglich mir eine Beschreibung zukommen zu lassen, wie man das einrichtet?

 

MfG

Link zu diesem Kommentar

Ich habe das so gemacht: https://learn.microsoft.com/de-de/azure/active-directory/authentication/howto-mfa-nps-extension-rdg

 

Wenn Du die Anleitung abarbeitest kommst Du an einen Punkt an dem Du ein Powershellscript ausführen musst. Bei mir hat das erst funktioniert nachdem ich im Script den Namen des Netzwerkdienstes auf deutsch übersetzt habe, falls Du auch ein OS mit deutscher Sprache nutzt.

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...