none
RD Gateway - připojení z internetu nefunguje, z LAN ano

    Dotaz

  • Snažím se v cvičném prostředí rozchodit RD Gateway:

    Pro vyzkoušení jsem si připravil 2 servery (Windows Server 2019 Standard):

    1. dc.domena.local (192.168.1.109), řadič domény, správce licencování vzdálené plochy, DNS server

    2. rds.domena.local (192.168.1.108), RDS, RD Gateway, člen domény domena.local

    Z internetu je povolený jen port 443 směrovaný na rds.domena.local.

    Internetové jméno je terminal.firma.cz a toto jméno je uvedeno i v lokálním DNS serveru jako A záznam s IP 192.168.1.108.

    Ale připojení z internetu nefunguje. Mstsc se tedy připojuje na terminal.firma.cz, v upřesnění má nastavenu bránu terminal.firma.cz. Připojení vyvolá dotaz na jméno, heslo, probíhá inicializace vzdáleného připojení a pak končí chybou: Vzdálená plocha se nemůže připojit ke vzdálenému počítači terminal.firma.cz z jednoho z následujících důvodů:

    1. Váš uživatelský účet není uveden  v seznamu oprávnění VP  - to ale uveden je, z LAN se připojím.

    2. Je možné, že jste zadali vzdálený počítač ve formátu NETBIOS, ale brána očekává formát FQDN nebo formát IP adresy.

    Certifikát jsem vygeneroval se jménem terminal.firma.cz a naimportoval ho i na klienta.

    Port 443 je propustný, např. https://terminal.firma.cz/rdweb zobrazí přihlašovací stránku.

    V logu je hláška, že uživatel A.B v klientském PC xxx.xxx.xxx.xxx inicioval odchozí připojení, dále že uživatel splnil požadavky zásad autorizace připojení a proto byl oprávněn k přístupu k serveru služby Brána VP. Pak je tam ale chyba, že uživatele nesplnil požadavky zásad autorizace prostředku (nastaveno je domena\Domain Computers a domena\Domain Users) a proto nebyl oprávněn k připojení prostředku.

    Někde dělám základní chybu, ale nemůžu přijít na to kde. Nejspíš tápu v těch certifikátech.

    Děkuji za rady.

    Martd


    mart

    čtvrtek 7. února 2019 12:55

Odpovědi

  • Ze RDS v lan funguje, neni priznak toho, ze to tece pres RDGW. Naopak, v LAN se RDGW vetsinou obchazi.

    Jak jsou v RDGW nastaveny Connection Authorization Policy a Resource Authorization Policy ?

    viz  napr
    https://turbofuture.com/computers/How-To-Setup-a-Remote-Desktop-Gateway-Windows-Server-2016

    http://microsoftplatform.blogspot.com/2016/09/new-default-rd-gateway-resource.html



    • Upravený Miroslav Tiser úterý 12. února 2019 7:48
    • Označen jako odpověď martd úterý 12. února 2019 8:04
    úterý 12. února 2019 7:47
  • RD technologie je rozdelena na nekolik casti:

    • RD Host - vlastni terminalovy server
    • RD WEB - WEB rozhrani pro uzivatele, kde klikam na ikony publikovanych aplikaci, pripadne menim heslo (pokud tuto volnu povolim). Komunikuje s Brokerem, ze ktereoho zisk seznam publikovanych aplikaci pro daneho uzivatele.
    • RD Broker - "rozdelovac" zateze mezi RD hosty, "ridic" publikovanych aplikaci. Tj zasadni komponenta, pokud chci publikovat aplikace a pouzivat RD Web. Pripadne nejak dale ovlivnovat chod RD farmy - napriklad pouzit Shadow session = koukat uzivateli pres rameno, co dela, protoze jsem jeho support.
    • RD GW - SSL-to-RDP gateway

    V malem prostredi muze by vse na jednom serveru.

    Pozor: RD GW neni VPN, resi jen zapouzdreni RDP protokolu do SSL. Tj. Resource Authorization Policy resi to, kam smim pres GW protokolem RDP = na NAS (pokud to neni Windows s povolenou vzdalenou plochou) se nedostanu.

    Nebo jinak: pomoci politik na RDGW resim, jaci uzivatele, z jakych pocitacu, s jakym overenim, na jake pc v domene se mohou pripojovat RDP.


    • Upravený Miroslav Tiser úterý 12. února 2019 8:23
    • Označen jako odpověď martd středa 13. února 2019 18:25
    úterý 12. února 2019 8:20

Všechny reakce

  • Ze RDS v lan funguje, neni priznak toho, ze to tece pres RDGW. Naopak, v LAN se RDGW vetsinou obchazi.

    Jak jsou v RDGW nastaveny Connection Authorization Policy a Resource Authorization Policy ?

    viz  napr
    https://turbofuture.com/computers/How-To-Setup-a-Remote-Desktop-Gateway-Windows-Server-2016

    http://microsoftplatform.blogspot.com/2016/09/new-default-rd-gateway-resource.html



    • Upravený Miroslav Tiser úterý 12. února 2019 7:48
    • Označen jako odpověď martd úterý 12. února 2019 8:04
    úterý 12. února 2019 7:47
  • Mezitím jsem prošel několika cvičnými instalacemi a ten první odkaz jsem taky použil.

    Nyní jsem ve stavu, kdy to funguje z LAN i z WAN (ano, z LAN se RDGW nepoužije, přijde mi to logické). Uvedenou chybu jsem už nezaznamenal, přičítám ji tedy nějaké mé chybě při nastavovaní.

    Connection Authorization Policy: Domain Users (ve finále bych chtěl vytvořit skupinu RD-users, kde bude jen pár lidí)

    Resource Authorization Policy: celá síť (potřebuju se dostat na nějaké NAS a tiskárny v síti, možná by bylo lepší to ještě nějak omezit)

    Rád přijmu nějaká doporučení ohledně politik, jak to bývá obvyklé nastavovat.

    Zatím jsem se zabýval jen připojením přes RDGW, RD Web zatím neřeším. Jen mi trochu uniká úplný význam RD Connection Broker, který se také při instalaci nabízí. Má smysl v mém případě, kdy za RDGW mám jen jeden server s RDS?

    Díky.


    mart

    úterý 12. února 2019 8:04
  • RD technologie je rozdelena na nekolik casti:

    • RD Host - vlastni terminalovy server
    • RD WEB - WEB rozhrani pro uzivatele, kde klikam na ikony publikovanych aplikaci, pripadne menim heslo (pokud tuto volnu povolim). Komunikuje s Brokerem, ze ktereoho zisk seznam publikovanych aplikaci pro daneho uzivatele.
    • RD Broker - "rozdelovac" zateze mezi RD hosty, "ridic" publikovanych aplikaci. Tj zasadni komponenta, pokud chci publikovat aplikace a pouzivat RD Web. Pripadne nejak dale ovlivnovat chod RD farmy - napriklad pouzit Shadow session = koukat uzivateli pres rameno, co dela, protoze jsem jeho support.
    • RD GW - SSL-to-RDP gateway

    V malem prostredi muze by vse na jednom serveru.

    Pozor: RD GW neni VPN, resi jen zapouzdreni RDP protokolu do SSL. Tj. Resource Authorization Policy resi to, kam smim pres GW protokolem RDP = na NAS (pokud to neni Windows s povolenou vzdalenou plochou) se nedostanu.

    Nebo jinak: pomoci politik na RDGW resim, jaci uzivatele, z jakych pocitacu, s jakym overenim, na jake pc v domene se mohou pripojovat RDP.


    • Upravený Miroslav Tiser úterý 12. února 2019 8:23
    • Označen jako odpověď martd středa 13. února 2019 18:25
    úterý 12. února 2019 8:20
  • Díky za jasné vysvětlení.

    NAS už si připojím ze serveru, na který se připojuju.

    Myslím, že toto vlákno už můžeme uzavřít. Případné další zádrhele kolem RDS tady nemá smysl řešit, těžko by se to pod původním otázkou dohledávalo ostatním.


    mart

    úterý 12. února 2019 8:34
  • Oznac nejdulezitejsi prispevek jako odpoved pls.

    MP

    středa 13. února 2019 17:57
    Moderátor