locked
TMG und RDWEB RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Folgendes Szenario:

     

    Vorhandene Server,

    TMG, AD, SQLDB, RD (TS), TS-Gateway, EX, Lync (noch nicht fertig).

     

    Nun versuche ich den rdwebaccess extern bereitzustellen. Intern läuft auch wunderbar. die Einstellungen des TMG sind soweit auch erfolgreich. Ich komme extern sogar drauf, mitsamt korrektem Zertifikat. Allerdings lassen sich die Anwendungen nicht starten, da er sagt er habe den Remotecomputer nicht gefunden.

     

    Ich habe ein Video der gesamten Konfig erstellt. (gibts Per Mail)

    Ich glaube die Auflösung zwischen extern und internen Namen funktioniert nicht einwandfrei.

    Steps:

    TS:=============================

    - RD und TS-Gateway sind auf ein und dem selben Server

    - Das Zertifikat ist auf den externen Namen ausgestellt und wird auch vom OWA verwendet. Muss das verwendete Zertifikat ein internes sein?

    - Als Terminaldienste-Webzugriffscomputer sind alle Server im Intranet eingerichtet.

    - Die Remotedesktopgatewayeinstellungen (Remote App-Bereitstellung) ist auf automatisch erkennung eingerichtet.

    - Infos beim Anmelden: Herausgeber: company-ts-w-001.company.local remotecomputer: company-ts-w-001.company.local gatewayserver: company-ts-w-001.company.local

    TMG:============================

    - Der Weblistener ist formularbasiert über SSL mit dem externen Zertifikat eingestellt auf port 443 Standardauthentifizierung.

    - Eine Deligierung Seitens des TMG ist nicht aktiv

    - Pfade in der TMG Regel  /rdweb/*

    - Regeltest erfolgreich

     

    bin nach diesem Tutorial vorgegangen:

    <cite>www.aixperts .de/dox/RDG-und-TMG.pdf</cite>

     

    MfG ZKS IT

    Montag, 29. November 2010 12:23

Antworten

  • Question
    Anmelden
    1
    Anmelden

    Ok, ich kann mir vorstellen, dass es an den Remotedesktop-Gateway-Einstellungen des Remote-App-Managers liegt, die stehen normal auf automatisch. Dort musst du den externen FQDN eintragen.

    Gruß

    Christian

    Christian Groebner MVP Forefront
    Montag, 29. November 2010 13:13
  • Question
    Anmelden
    1
    Anmelden

    Hallo,

    wenn der Listener FBA macht, dann bleibt dir nur die Möglichkeit keine Delegierung einzurichten und in der Regel für die Veröffentlichung des TSG keine Authentifizierung zu fordern.

    Somit wird direkt am TSG authentifizierung und nicht schon am TMG.

    Gruß

    Christian

    Christian Groebner MVP Forefront
    Montag, 29. November 2010 14:44

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    was hast du denn als FQDN für den Remotedesktop-Sitzungshostserver eingetragen?

    Gruß

    Christian

    Christian Groebner MVP Forefront
    Montag, 29. November 2010 12:42
  • Question
    Anmelden
    0
    Anmelden
    den internen Servernamen. Wenn ich den Externen verwende, ist ein zugriff intern nicht mehr möglich auf die Anwendungen, und extern ist der Zielhost dann nicht erreichbar.
    Montag, 29. November 2010 13:00
  • Question
    Anmelden
    1
    Anmelden

    Ok, ich kann mir vorstellen, dass es an den Remotedesktop-Gateway-Einstellungen des Remote-App-Managers liegt, die stehen normal auf automatisch. Dort musst du den externen FQDN eintragen.

    Gruß

    Christian

    Christian Groebner MVP Forefront
    Montag, 29. November 2010 13:13
  • Question
    Anmelden
    0
    Anmelden
    Vielen Dank! das war jetzt schonmal soweit erfolgreich, als das die Authentifikationsabfrage kommt. Allerdings muss ich ja jetzt dann das NTLM so konfigurieren, das ich im AD dem TMG eine Deligierung zuweise auf den RDG?

    G. Jan
    Montag, 29. November 2010 13:44
  • Question
    Anmelden
    0
    Anmelden

    Ok, supi :-)

    Wenn du am TMG authentifizieren willst, dann brauchst du einen Weblistener, der die NTLM-Authentifizierung unterstützt, ansonsten geht's nicht. In der Webveröffentlichung musst du nun die Authentifizierung auf Kerberosdelegierung umstellen. Dann musst du auf dem TSG den im TMG vorgeschlagenen SPN registrieren mit SPN -A http/FQDN Servername registrieren. Anschließend im AD unter dem Computerobjekt des TMG die Delegierung für den SPN konfigurieren. Wenn alles richtig ist, dann sollte es laufen.

    Gruß

    Christian

    Christian Groebner MVP Forefront
    Montag, 29. November 2010 13:50
  • Question
    Anmelden
    0
    Anmelden

    hmm, muss ich denn mit ner Delegierung arbeiten. Der Listener Teilt sich auf Formularbasis den RDWEB und den OWA,Outlook ActiveSync,Outlook  Anywhere. Von daher kann ich keinen weiteren Listener erstellen auf Port 443. NTLM-Authentifizierung bekomme ich dann somit ja nicht hin. oder ich müsste das gesamte OWA von Formular/Standardauthentifizierung auf NTLM umstellen?

     

    G. Jan

    Montag, 29. November 2010 14:19
  • Question
    Anmelden
    1
    Anmelden

    Hallo,

    wenn der Listener FBA macht, dann bleibt dir nur die Möglichkeit keine Delegierung einzurichten und in der Regel für die Veröffentlichung des TSG keine Authentifizierung zu fordern.

    Somit wird direkt am TSG authentifizierung und nicht schon am TMG.

    Gruß

    Christian

    Christian Groebner MVP Forefront
    Montag, 29. November 2010 14:44
  • Question
    Anmelden
    0
    Anmelden

    gut, ich habe jetzt ohne Delegierung es soweit hinbekommen, das ich die RemoteApps auch aufrufen kann. Allerdings verlangt der RDS dann Benutzername und Kennwort erneut und verweigert egal welchen Nutzer. Intern funktioniert die Anmeldung. Ich habe keinen blassen Schimmer mehr.

    Liegt es an dem Listener..Kann ich eine weiterne Listener auf Port 3443 anlegen und NTLM benutzen...Brauche ich wohl doch zwangsweise eine weitere externe IP..

     

    G. Jan

    Donnerstag, 2. Dezember 2010 13:46
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    hast du in der Regel für /rpc/* die Benutzergruppe "Alle Benutzer" ausgewählt und in den Anwendungsdelegierungseinstellungen "keine Authentifizierung, aber direkte Authentifizierung" eingestellt, so dass die Authentifizierung direkt am TSG erfolgt?

    Ansonsten ist es noch wichtig, dass du die URL immer über rdp.domain.com/rdweb aufrufst, denn darüber wird ein Skript ausgeführt welches zur Speicherung des Cookies benötigt wird. Zudem ist es wichtig, dass du den Benutzer auch immer in der Form Domäne\Name angibst.

    Was sagt denn die Protokollierung vom TMG dazu?

    Gruß

    Christian

    Christian Groebner MVP Forefront
    Donnerstag, 2. Dezember 2010 13:55
  • Question
    Anmelden
    0
    Anmelden

    Hi,

     

    ich habe eine Regel für:

    - /rpc/* und/rdweb/*

    - Alle Benutzer

    - keine Deligierung, aber direkte Authentifizierung des Client

     

    Die Domain ist folgendermaßen aufgebaut:

    - Homepage: http://www.firma.de

    - OWA: https://arbeitsgruppe1.firma.de/owa

    - RDWEB: https://arbeitsgruppe1.firma.de/rdweb

    - ecp,rpc,Outlook Anywhere, ExchangeActivesync sind nach dem gleichen Muster aufgebaut

    - Das Zertifikat ist ausgestellt für arbeitsgruppe1.firma.de

     

    Ich könnte ein Video der Einstellungen mitsamt Demo des Problems erstellen und zumailen.

    Ich komme ja von Extern auf das Interface und kann mich einloggen und sogar die Apps aufrufen. Aber beim Starten der RemoteApp verlangt er Benutzer/Passwort.Das dauert etwas, und bricht dann ab. Der TMG meldet im Protokoll nur 443 Anforderung zugelassen.

     

     

    G. Jan

     

    Freitag, 3. Dezember 2010 10:20