Jump to content

Verbindugn über RD-Gatewayserver


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin,

 

ich möchte einen RDH von extern zugänglich machen und habe dazu einen Server

mit den Rollen RD-Sitzungshost, RD-Verbindungsbroker, RD-Gateway und WebAccess installiert.

 

Unter dem RD-Gateway-Manager habe ich nun ein vertrauenswürdiges Zertifkat installiert,

somit klappt der Aufruf von extern über WebAccess mit remote.domäne.de/rdweb problemlos.

Nach der Authentifizierung möchte ich mich nun mit dem RD-Sitzungshost verbinden,

doch da verzettel ich mich ein wenig...

Wenn die RDP-Verbindung hergestellt wird, scheitert diese am Zertifikat für den Host (hostname.interneDomäne.local).

 

Wie kann ich das Problem lösen, wenn ich unser Stammzertifikat nicht am Client installieren möchte.

Auch würde mich interessieren, wie man SSO implementieren kann?

 

Die Umgebung läuft im übrigen unter Windows 2012 R2 :)

 

Vielen Dank für Tipps und Anregungen

 

Stefan

Link zu diesem Kommentar

Bin jetzt etwas weiter:

 

Ich habe SSO per Delegierung der Anmeldeinformationen hinbekommen:

Per Powershell mit erhöhten Rechten am Server: Enable-WSManCredSSP Server.

Am Client ab Windows 8: Enable-WSManCredSSP Client –DelegateComputer FQDN.

Damit hab ich jetzt nur noch eine Anmeldung.

 

Eine Verbindung bekomme ich jetzt auch zustande, geändert habe ich die RDP-Sicherheitseinstellungen am Server:

Da die Verbindung per RD-Gateway durch SSL getunnelt wird: Von "SSL (TLS 1.0)”-Verschlüsselung" auf RDP-Sicherheitsstufe eingestellt.

Weiter die Authentifizierung auf Netzwerkebene deaktiviert.

 

 

Schön wäre jetzt noch, wenn diese beiden Meldungen beim verbinden vom WebAccess zum RD-Host elemeniert werden können:

1) "Von einer Website wird versucht, eine Remoteverbindung zu starten...."

2) "Die Identität des Remotecomputers kann nicht überprüft werden. Möchten Sie diese Verbindung trotzdem herstellen?"

 

Zudem dauert die Anmeldeprozess schon gefühlt "recht lang" ~ 25 Sek.

 

 

Das Zertifikat auf dem RD-Gateway ist korrekt eingetragen -> Anmeldung am WebAccess ohne Zertifikatsmeldung möglich.

bearbeitet von viper990
Link zu diesem Kommentar

Das damit die Preauthentifizierung abgeschaltet ist, verstehe ich.

Die Verbindung von extern wird über das RD-Gateway abgewickelt, daher doch auch mit SSL verschlüsselt.

Stelle ich das jedoch um, bekomme ich eine Zertifikatswarnung, obwohl das Zertifikat öffentlich gültig ist.

Soll im Moment nicht weiter stören, muß ich mir noch einmal anschauen.

 

Dringender wären aktuell die Anmeldezeiten, die (ich hab jetzt mal gemessen) bei ~50sek liegen.

Oft habe ich gelesen, die Option Bypass RD-Gateway Server for local addresses auszuschalten.

Hatte ich ausprobiert, auch mal die Firewall logs kontrolliert... bringt mich nicht wirklich weiter.

Link zu diesem Kommentar

Klingt nach Netzwerk-Timeout. Was für ein Zertifikat ist das denn genau? Auf welchen Servernamen ist das ausgestellt? Wie lautet die Fehlermeldung im Detail? Vertrauen die Teilnehmer dem Aussteller des Zertifikats? Können sie auf die Zertifikatssperrliste zugreifen? Kann der Server es? Hast Du mal mit einem Netzwerkmonitor geschaut, was in den ~50 Sekunden passiert, wenn Du die Verbindung aufbaust?

bearbeitet von Daniel -MSFT-
Link zu diesem Kommentar

Das mit dem Netzwerkmonitor ist mal ne gute Idee.

 

Wenn ich die Verbindung herstelle:

- bekomme ich TLSv1 Datenverkehr zu sehen ~ 15 Pakete Richtung Server

- dann passiert eine halbe Stunde nichts (25sek)

 

- dann erscheint am Client die Warnung das der Server nicht vertrauenswürdig ist

  Hab den Fingerprint des Zertifikats wohl noch nicht korrekt importiert.

- dann wieder TLSv1 Datenverkehr ~ 15 Pakete Richtung Server

- dann wieder eine halbe Stunde nichts (25sek)

 

Nun kommt der Desktop endlich zum Vorschein...

Link zu diesem Kommentar

Das klingt sehr danach, dass versucht wird, die Zertifikatssperrliste abzufragen. Das machen Client und Server meines Wissens. Beide müssen die Liste erreichen können. Ich dachte, Du nutzt ein öffentliches Zertifikat. Da musst Du den Zugriff auf deren Sperrliste erlauben. Oder ist es ein selbst erstelltes? Dann muss Du dafür sorge tragen, dass Client und Server dem vertrauen und die Liste erreichen können, die da drin steht.

 

Was genau ist denn die Zertifikatsfehlermeldung?

Link zu diesem Kommentar

Ich hatte uns ein Testzertifikat von Godaddy besorgt.

Die Sperrliste http://crl.comodoca.com/EssentialSSLCA.crl kann ich problemlos vom Server und Client erreichen.

 

Habe ich evtl. die Zertifikate am Verbindungsbroker falsch konfiguriert?

Servermanager -> RemoteDesktopDienste -> Bereitstellungseigenschaften bearbeiten

Hier habe ich überall das gleich Zertifikat genommen, für WebAccess und RD-Gateway steht es ja auch so geschrieben.

Bye the way: Stufe ist Vertrauenswürdig und Status ok.

Nur bei dem Verbindungsbroker bin ich mir nicht sicher...

bearbeitet von viper990
Link zu diesem Kommentar

Die Installationsanleitung habe ich unbewußt verfolgt, gehe so standardmäßig vor.

 

Mittlerweile habe ich einen "Server 2012" virtuell neu aufgesetzt, den ganzen Käse fast genauso installiert

und leider dasselbe Ergebnis bekommen.

Mir ist jedoch aufgefallen das 80% der Wartezeit nichts passiert und dann nach der zweiten Anmeldung (SSO ist hier nicht konfiguriert)

rechts unten das RDP Symbol in der Taskleiste auftaucht. Sobald das Symbol da ist und er mit dem Sitzungshost

verbunden ist, dauert es nur noch wenige Sekunden.

 

Heißt für mich, irgendwas zwischen Verbindungsherstellung und Herstellen der Verbindung vom Broker zum Sitzungshost ist langsam.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...