Jump to content
Matze1708

Frage zu Domain Name - interner Name und Zugriff von außen

Recommended Posts

Hallo,

 

ich habe mal eine Frage,

 

ich habe eine Windows Domain innerhalb ein paar wenigen Server

DC

RD

IIs

 

die sich svva.intra nennt.

 

wenn ich nun den Gedanken hege, über das RD Gateway von aussen auf den RD server zu zu greifen.

benötigte ich doch auf diesem server den Namen der Domain, von der ich aussen kommen?

 

z.b.

rd.svva.de

 

oder wie muss ich das verstehen?

 

wo füge ich die dazu?

 

im RD Gateway oder im DNS?

 

ich benötigte dann ja ein Zertifikat was auf dir externe Domain zeigt

Share this post


Link to post
Share on other sites

Moin,

 

solche Anbindungen laufen typischerweise über einen Reverse Proxy. Der stellt nach außen die Verbindung über einen externen Namen bereit und leitet die Verbindung dann nach innen um. Dadurch können die Namen sich unterscheiden.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Nach den Zertifikaten hast du gar nicht gefragt!

Es müssen ins Zertifikat alle DNS Namen, auf die die Clients zugreifen. Ggf. brauchst du Split DNS.

Share this post


Link to post
Share on other sites

Der letzte Satz in meinen Ersten Posting, hatte sich vorsichtig daran gerichtet.

 

Um den RD Server ins Netz zustellen , könnte ich auch einfach die Regeln in die Router Firewall eintragen.

 

dann habe ich aber das thema, das nicht wirklich jemand was mit den Apps oder dem RD anfangen kann, weil die fehlenden Zertifikate das verhindern.

 

würde gern nur ganz simpel den IIS an RD gateway mit Port 443 oder einem anderen sicheren ins Internet hängen und dann dahinter den RD Server samt apps anzeigen oder den zugriff darauf erlauben.

 

es ist halt eine sehr kleine Struktur ich überlege grade, ob sich der Aufwand überhaupt lohnt.

 

würde halt auch gerne mit kostenlosen oder günstigen Zertifikaten arbeiten, 

oft wird ja Wildcard Zertifikat empfohlen 

Share this post


Link to post
Share on other sites

Ich lese das oft in Foren und in Youtube Videos, 

das es einfacher ist, wenn man mehrere Server hat, die man durchquert bei der Verbindung zum RD Server.

dann wäre es einfacher zu konfigurieren.

 

gerne lasse ich mich auch eines besseren belehren.

Share this post


Link to post
Share on other sites

Bei Zertifikaten ist immer die Frage ob du alle Clients, die auf das RD Gateway zugreifen, unter kontrolle hast. Wenn das alles gemanaged Clients sind kannst du ein Self-Signed Zertifikat oder ein Zertifikat von einer Eigenen PKI mit beliebigen DNS Namen verteilen. Wenn das nicht alles bekannte Clients sind (z.B. Internet Cafe, private Rechner, ...) dann brauchst du ein Öffentliches Zertifikat (bzw. das Root Zertifikat ist in den Zertifikatsstores von z.B. Browsern und OS vorinstalliert). Dabei gibt es von den CA's normalerweise die "Einschränkung", dass keine internen Namen erlaubt sind. Da brauchst du dann Split DNS (d.h. das RD Gateway ist (unter anderem) mit dem externen Namen auch intern erreichbar.

Share this post


Link to post
Share on other sites

Hi,

vor 5 Minuten schrieb Matze1708:

würde halt auch gerne mit kostenlosen oder günstigen Zertifikaten arbeiten, 

da würde sich ggfs. Let's Encrypt anbieten. Die haben auch Wildcard. :P

 

In deinem Fall würde vermutlich ein Zertifikat mit einem passenden Host reichen. Die gibt es bei PSW ab ~30€. Des Weiteren müsstest du den RDClientAccessName anpassen: https://gallery.technet.microsoft.com/Change-published-FQDN-for-2a029b80

 

Ansonsten wäre natürlich auch noch ein Citrix ADC Freemium / Free Loadmaster von Kemp / HA Proxy / ein sonstiger Reverse Proxy eine Option.

 

Gruß

Jan

Share this post


Link to post
Share on other sites

Das heisst, 

 

ich müsste im DNS noch zusätzlich eine Zone eintragen, die so heisst wie meine externe Domain?

 

auf der Externen Domain (1&1)müsste ich dann einen  CNamen auf die Adresse nach intern legen. Bzw auf den DynDns Dienst

Share this post


Link to post
Share on other sites
Zitat

In deinem Fall würde vermutlich ein Zertifikat mit einem passenden Host reichen. Die gibt es bei PSW ab ~30€. Des Weiteren müsstest du den RDClientAccessName anpassen: https://gallery.technet.microsoft.com/Change-published-FQDN-for-2a029b80

 

Mit meinem Laienhaften denken, habe ich an genau sowas gedacht.

 

nur das dann das Gateway diesen Namen bekommt und ich beim Hoster nen DNS Eintrag auf meinen DynDnS einstelle und per Firewall kommt dieser RD Server raus

 

in diesem Szenario würde dann ein Zertifikat auf den RD Gateway Host reichen?

Edit:

ich denke das wäre die einfachste Art.

 

könnte ich die VPN „sparen“

Share this post


Link to post
Share on other sites

Du kannst entweder eine Zone mit dem externen DNS Namen erstellen, musst dann aber auch alle externen IPs pflegen, die erreichbar sein sollen.

Oder eine Zone mit dem externen Hostnamen und nur einem A Record "."

Share this post


Link to post
Share on other sites

Sorry, ich muss aber nochmal doof fragen.

 

habe jetzt auf dem IIS das RD Gateway und den RD WebAccess hinzufügt.

 

portweiterleitung von aussen auf die IP und den port des IIs

 

habe erstmal ein Selbst signiertes Zertifikat erstellt, mit der URL der externen Adresse.

 

remote.xxx.de :-)

 

wenn ich das rd web aufrufe, kann ich mich anmelden und die Apps sehen.

will ich mich verbinden, bekomme ich die Meldung das ich mich nicht auf TS1.svva.intra verbinden kann.

 

Share this post


Link to post
Share on other sites
vor 36 Minuten schrieb Matze1708:

will ich mich verbinden, bekomme ich die Meldung das ich mich nicht auf TS1.svva.intra verbinden kann.

Dann darf der User sich nicht per RDP auf den Server verbinden. Wie meldest Du dich an? Domain\User oder User@domain.TLD

Share this post


Link to post
Share on other sites

Der user ist in der Gruppe GG_TS_Remote

diese gruppe ist auf dem TS1 als Gruppe in der Richtlinie drin.

 

Der User ist auch Mitglied dieser Gruppe.

angemeldet hatte ich mich mit Domain\User

 

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...