none
Důvěryhodnost certifikatu pro RDP

    Dotaz

  • Dobrý den,

    snažím se zabezpečit celý RDS připojení pomocí certifikátu. Certifikáty jsou vydané, importované, tady to je ok. Uvnitř domény mi to funguje, ale směrem ven si nevím moc rady. Současný stav se má takto:

    server A - Forefront TMG

    server B - RDS

    server C - Exchange

    na internet je publikovaný jenom srv.C, takže když se chci připojit přes RDP na srv.B tak musím zadat RDP -> srv.C, na TMG mám nastavené pravidlo, které směřuje RDP komunikaci na srvB. Nakonec se dostanu kam potřebuji, ale do této struktury mi nejdou zapasovat certifikáty, tak aby mi to při přihlašování neházelo chybu: Název serveru uvedený v certifikátu není správný.

    návrhy jak to řešit?

    - Publikovat srv.B do internetu?

    - Instalovat certifikát vydaný pro srv.B na TMG, nebo to celé udělat s certifikátem pro srv.C a pak nějak pomocí Listenerů?

    Díky za návrhy

    23. května 2012 12:43

Odpovědi

  • Ahoj,

    já bych to řešil přes Remote Desktop Gateway. Veškerá RDP komunikace se tuneluje přes HTTPS, můžeš přistupovat na neomezeně počítačů za nějakým NAT a neřešíš různé přesměrování portů. +viz videa na mstv.cz


    This posting is provided "AS IS" with no warranties or guarantees, and confers no rights.

    Microsoft Student Partner 2010 / 2011 / 2012
    Microsoft Certified Professional | Connected Home Integrator | Consumer Sales Specialist
    Microsoft Certified IT Professional: Consumer Support Technician on Windows Vista
    Microsoft Certified IT Professional: Enterprise Support Technician on Windows Vista
    Microsoft Certified IT Professional: Server Administrator on Windows Server 2008
    Microsoft Certified Solututions Associate: Windows Server 2008
    MCP transcript, contact information, list of all Certifications

    23. května 2012 12:52
  • Díky za rady a omlouvám se za delší nečinnost, ale přišlo do toho několik dalších projektů, které měly přednost.

    Nakonec jsem to opravdu řešil přes RD Gateway. Protože jsem RD Gateway nechtěl instalovat na již publikovaný server (Exchange), tak jsem přidal do internetu DNS záznam (alias) serveru na kterém je celé RDS a běhá to jak po másle. Poslední třešnička je, jak dostat do TMG na listener dva SSL certifikáty. Návodů je hodně, jenom si vybrat. 

    Abych to asi uzavřel, tak původní problém byl v tom, že v celém návrhu jsem měl 3 servery a měly být dva.


    19. června 2012 7:44

Všechny reakce

  • Ahoj,

    já bych to řešil přes Remote Desktop Gateway. Veškerá RDP komunikace se tuneluje přes HTTPS, můžeš přistupovat na neomezeně počítačů za nějakým NAT a neřešíš různé přesměrování portů. +viz videa na mstv.cz


    This posting is provided "AS IS" with no warranties or guarantees, and confers no rights.

    Microsoft Student Partner 2010 / 2011 / 2012
    Microsoft Certified Professional | Connected Home Integrator | Consumer Sales Specialist
    Microsoft Certified IT Professional: Consumer Support Technician on Windows Vista
    Microsoft Certified IT Professional: Enterprise Support Technician on Windows Vista
    Microsoft Certified IT Professional: Server Administrator on Windows Server 2008
    Microsoft Certified Solututions Associate: Windows Server 2008
    MCP transcript, contact information, list of all Certifications

    23. května 2012 12:52
  • Tak Gateway se rozchodila a dostanu se na ni z venku což je super, ale pro změnu mi neprojde přihlášení. Mám vynucené NLA a skončím s chybou: Pokus o přihlášení se nezdařil.

    Díky a s pozdravem LG

     
    23. května 2012 15:02
  • Nehrabe do toho někde to TMGčko? Protože RDG nemá vůbec vliv na NLA. Je to s tím normálně kompatibilní.

    Máš nakonfigurované obě skupiny v té konzoli RDG - viz video na mstv? Nebo jaké byly provedeny kroky? Je něco v eventlogu na té stanici? Nepoužívá ta stanice nějaký nestandardní port?


    This posting is provided "AS IS" with no warranties or guarantees, and confers no rights.

    Microsoft Student Partner 2010 / 2011 / 2012
    Microsoft Certified Professional | Connected Home Integrator | Consumer Sales Specialist
    Microsoft Certified IT Professional: Consumer Support Technician on Windows Vista
    Microsoft Certified IT Professional: Enterprise Support Technician on Windows Vista
    Microsoft Certified IT Professional: Server Administrator on Windows Server 2008
    Microsoft Certified Solututions Associate: Windows Server 2008
    MCP transcript, contact information, list of all Certifications

    23. května 2012 15:37
  • Tak TMG myslím vůbec. Když vypnu gateway, tak všechno funguje. V momentu, kdy ji zapnu tak se nedostanu přes přihlášení.

    Zkoušel jsem věci popsané tady všude, ale nic (příznaky jsou stejné):

    http://serverfault.com/questions/8597/ts-rd-gateway-authentication-problem-the-logon-attempt-failed

    http://blogs.msdn.com/b/rds/archive/2011/09/07/how-to-troubleshoot-logon-attempt-failed-messages-when-connecting-through-rd-gateway.aspx

    Konfiguraci RDS mám podle všeho dobře, včetně certifikátů.

    24. května 2012 8:25
  • Zkus se teda přímo přes tu RDS gateway připojit na ten server, který ji hostuje. Jestli to projde.

    A taky zkus vypnout ověřování na úrovni sítě.


    This posting is provided "AS IS" with no warranties or guarantees, and confers no rights.

    Microsoft Student Partner 2010 / 2011 / 2012
    Microsoft Certified Professional | Connected Home Integrator | Consumer Sales Specialist
    Microsoft Certified IT Professional: Consumer Support Technician on Windows Vista
    Microsoft Certified IT Professional: Enterprise Support Technician on Windows Vista
    Microsoft Certified IT Professional: Server Administrator on Windows Server 2008
    Microsoft Certified Solututions Associate: Windows Server 2008
    MCP transcript, contact information, list of all Certifications

    24. května 2012 11:26
  • Díky za rady a omlouvám se za delší nečinnost, ale přišlo do toho několik dalších projektů, které měly přednost.

    Nakonec jsem to opravdu řešil přes RD Gateway. Protože jsem RD Gateway nechtěl instalovat na již publikovaný server (Exchange), tak jsem přidal do internetu DNS záznam (alias) serveru na kterém je celé RDS a běhá to jak po másle. Poslední třešnička je, jak dostat do TMG na listener dva SSL certifikáty. Návodů je hodně, jenom si vybrat. 

    Abych to asi uzavřel, tak původní problém byl v tom, že v celém návrhu jsem měl 3 servery a měly být dva.


    19. června 2012 7:44