Jump to content

RDWeb zugriff von Extern


Direkt zur Lösung Gelöst von cityempire,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

bin gerade am testen einer neuen Remote Desktop Farm. Das klappt auch soweit, bis auf Extern. Die Anleitungen die ich gesehen habe gingen darauf nicht ein, leider.

 

Umgebund

 

w12rdpgw.firma.intern (Verbindungsbroker, WebAccess (für Intern)

w12lic.firma.intern (Lizenzserver)

w12web.Firma.intern (WebAccess Extern)

w12rdp01.Firma,intern

w12rdp02.Firma,intern

w12rdp03.Firma,intern

 

Eine Sammlung verteilt auf alle drei Sitzungshosts "Desktop"

Eine Externe Adresse: extern.firma.de -> nur Port 443 geht über eine FW an den w12web.firma.intern

 

Wenn ich nun folgende URL intern aufrufe klappt alles: https://w12web.firma.intern/rdweb

Ich bekomme die Anmeldeseite und nach der Anmeldung bekomme ich die Sammlung, klicke ich die Samlung an, öffnet sich der Desktop.

 

Wenn nun die URL https://extern.nld.de aufgerufen wird (von Extern), erscheint wieder die Anmeldeseite, nach der Anmeldeseite die Sammlung. Wenn ich die Sammlung auswähle verbindet er sich mit der Sammlung und nach kurzer Zeit erschein ein Fehler:

Ein Authentifizierungsfehler ist aufgetreten Code 0x607

Server w12rdp02

 

Wo liegt hier mein Denkfehler bzw. wo kann ich suchen ?

 

Gruß

Bernd

 

 

Link zu diesem Kommentar

Moin,

 

ich muss zugeben, dass ich den Aufbau nicht ganz durchschaue.

Warum gibt es zwei WebAccess?

 

Du benötigst zusätzlich einen RDS Gateway für den externen Zugriff.

WebAccess und RDS Gateway benötigen einen externen FQDN; der Connection Broker benötigt einen externen Client Access Name. Für den internen Zugriff muss ggf. Split DNS eingerichtet werden.

 

https://gallery.technet.microsoft.com/Change-published-FQDN-for-2a029b80

http://www.rdsgurus.com/ssl-certificates/windows-2012-r2-how-to-create-a-mostly-seamless-logon-experience-for-your-remote-desktop-services-environment/

Link zu diesem Kommentar

Moin,

hat ein wenig gedauert, aber mein English ist nicht ganz so perfekt.

 

Ich habe mir jetzt nur den Ersten Link als Anhaltspunkt genommen und mein Design abgeändert. Warum ich zwei WebAccess hatte, auf dem RemoteGW kann nur ein Zertifikat installiert sein, so lautete zumindest die Fehlermeldung und ich wollte den Webaccess von Intern und Extern Trennen. Das hat sich aber mit der Erklärung im ersten Link erübrigt. Fand ich überaus hilfreich.

 

Wo ich noch schauen muss, ob ich ein Denkfehler habe, ist die Freigabe der Sammlung, dieser wird im Zertifikat immer noch als Intern ausgelegt. Ansonsten ist nun überall die Externe Domain im Einsatz. Ich werde mir das ganze am Wochenende anschauen, dann habe ich auch die Möglichkeit Extern zu testen. Melde mich dann ob es klappt oder ob noch was offen ist.

Bis dahin,

Gruß

Bernd

Link zu diesem Kommentar

Hallo,

neuer Status. Nachdem ich das ganze umgebaut habe, mit Hilfe der Website habe ich folgendes abgeändert:

WebAccess und Remote GW auf einen Server gelegt.

 

den w12web habe ich aufgelöst.

Split DNS wurde eingerichtet für die Externe Domäne im Internen Netz.

 

Ergebnis:

Intern:

mstsc rdp-Standard.Firma.de (zugriff klappt)

https://extern.firma.de/rdweb  (liegt auf dem w12rdpgw.firma.intern)

-> Login erfolgreich

Nach dem starten des Destop "rdp-Standard" wird die Authentifizierung gestartet. Laut Log auch erfolgreich. Die Richtlinien Sätze werden auch erfolgreich abgeschlossen.

Danach erscheint die Meldung wieder: "Authentifizierungsfehler Code 0x607.

 

Extern:

noch nicht getestet, wenn die Interne schon nicht geht.

 

Was ich dazu noch gefunden habe war folgender Beitrag:

https://social.technet.microsoft.com/Forums/sharepoint/en-US/94780a11-23ba-4a3c-b11a-734007c2d2fd/an-authentication-error-has-occured-code-0x607?forum=winserverTS

 

den Vorletzten Eintrag habe ich nicht ganz verstanden. Den Part mit der GPO.

 

Gruß

Bernd

Link zu diesem Kommentar

Das ist das Problem mit denn Zertifikaten, für mich noch ein Neuland. Bisher brauchte ich es nicht und in einer Anleitung zum Aufbau einer Farm stand das so.

Hast du eine Gute Beschreibung oder Link zum Thema Zertifikate ? Wenn möglich in Deutsch, da mein englisch nicht ganz so gut ist.

 

Nun zum Fehler, mit den Servern kann ich immer noch keine Verbindung aufbauen, daher habe ich nun einfach mal einen Server Sauber neu installiert und eine Neue Sammlung eröffnet.

Hier klappt der Verbindungsaufbau Intern wie auch Extern. Leider gibt es einen unschönen Unterschied. Intern wird die Anmeldung sauber durchgereicht und Extern wird beim Verbindungsaufbau der Username, Domäne und Kennwort erneut abgefragt. Hier ein Tip?

 

Und ohne eine Debatte loszutreten, ist es aus Sicherheitsgründen oder Betriebsgründen sinnvoll den Webaccess und das GW auf einen Server zu packen ? würde mir eine Externe Registrierung sparen und den Nutzern eine weitere URL.

 

Danke für die Hilfe. Habe in den letzten Tagen viel gelernt.

 

Gruß

Bernd

Link zu diesem Kommentar

Mit deutschen Quellen wird es schwer, aber es gibt google translate

 

Auf Ryans blog finden sich einige gute Artikel zum Thema RDS; die 2012'er Artikel passen zum größten Teil auch für 2012 r2

https://ryanmangansitblog.com/2013/03/10/configuring-rds-2012-certificates-and-sso/

https://ryanmangansitblog.com/2013/03/27/deploying-remote-desktop-gateway-rds-2012/

 

Ich würde grundsätzlich alle Rollen trennen. Das verbessert die Skalierbarkeit der Umgebung und erleichtert ggf. künftige Migrationen.

Die Benutzer benötigen keine weitere url, wenn der Gateway auf einer anderen Maschine läuft. Die Benutzer brauchen nur die WebAccess Adresse, der Rest läuft im Hintergrund und ist für den Anwender transparent.

Wie man es im Deatil umsetzen kann, mehrere Hostnamen, Reverseproxy, mehrere öffentliche IPs etc., müsste noch überlegt werden.

Link zu diesem Kommentar
  • 3 Monate später...
  • Beste Lösung

Hallo,

Ewigkeiten und einen Urlaub später habe ich für mich eine Lösung gefunden:

Kurzer Aufbau:

SessionHost: w12rdsh.contoso.intern

ConnectionBroker: w12rdcp.contoso.intern (cb.contoso.de und Connection rdp-extern)

GW: w12rdgw.contoso.intern (extern: rdgw.contoso.de) (hier liegt auch der webaccess)

 

Im Anschluss die Zertifikate Verteilt. (in meinem Fall für *.contoso.de)

 

wenn ich nun eine Connection aufgebaut habe, bekommt man einen Fehler. Name passt nicht zum Zertifikat.

 

In meinem Fall hat es nun gereicht den alternate full address zu setzen.

Set-RDSessionCollectionConfiguration –CollectionName rdp-extern -CustomRdpProperty “use redirection server name:i:1 `n alternate full address:s:cb.contoso.de”

 

Alle Server stehen bei mir im Netz und die FW regelt den https Verkehr zum GW.

Der Externe DNS muss nur auf GW gesetzt werden.

 

Anfangs hatte ich es mit einem Script von Microsoft getestet set-rdpublishedName.ps1, dort hate ich aber den Fehler, das ich keine Verbindung mehr aufbauen konnte.

 

Mit Freundlichen Grüßen

 

Bernd

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...