none
Server 2008 R2, RemoteApp/ RD Web Access über RD Gateway und ISA2006 RRS feed

  • Frage

  • Hallo allerseits,

    ich bin nun seit einigen Tagen dabei die RemoteApps /Web Access über einen RD Gateway in eine DMZ zu veröffentlichen. Alles hat auch soweit gut geklappt, und es funktioniert auch. Das einzige woran ich jetzt hänge ist eine Abfrage eines Zertifikates. Ich bin mir nicht sicher ob das was ich vor habe überhaupt geht :)

    Das Szenario sieht wie folgt aus:

    server1.intdomain.local
       int ip 10.1.1.1
       windows server 2008 r2
       RD Host (remoteApp) und RD Web Access 
       https Veröffentlichung auf ISA2006 als rds.dmzdomain.local auf 20.1.1.1

    server2.intdomain.local
       int ip 10.1.1.2
       windows server 2008 r2   RD Gateway
       https-Veröffentlichung auf ISA2006 als rdg.dmzdomain.local 20.1.1.2

    Es gibt eine eigenständige Zertifizierungsstelle, von der aus folgende Zertifikate ausgestellt wurden
    root.intdomain.local
    server1.intdomain.local und rds.dmzdomain.local
    server2.intdomain.local und rdg.dmzdomain.local

    RemoteApp Manager Konfig auf Server1
       rdgateway - rdg.dmzdomain.local
       zertifikat - server1.intdomain.local

    RD Gateway Konfig auf Server2
       ssl-zertifikat - server2.intdomain.local

    ISA2006 Konfig
       https 443 veröffentlichung -  rds.dmzdomain.local (IP 20.1.1.1) mit gleichnamigen zertifikat - weiterleitung auf 10.1.1.1
       https 443 veröffentlichung - rdg.dmzdomain.local (IP 20.1.1.2) mit gleichnamigen zertifikat - weiterleitung auf 10.1.1.2

    so, jetzt installiere ich auf einem Client in der DMZ (20.1.1.x) das Zertifikat Root.intdomain.local. Wenn ich jetzt im Browser https://rds.dmzdomain.local/rdweb eingebe, erscheint die RDWebAccess Anmeldemaske. Ich melde mich an und sehe die RemoteApps. Soweit so gut, wenn ich jetzt eine RemoteApp starte, erscheint erst mal eine Meldung über den Herausgeber usw., dann dauert es ca. 40sek bis ein HInweis erscheint, dass die Identität des Remotecomputers nicht geprüft werden kann. Wenn ich mir das Zertifikat dort anschaue, sehe ich das SELBSTSIGNIERTE von server1.intdomain.local, aber nicht das von von der Zertifizierungsstelle ausgestellte Zertifikat. Das selbstsignierte zertifikat wurde von mir allerdings nirgendwo hinterlegt, weder auf dem server1 (appserver), noch ISA-Veröffentlichung, noch auf dem dmz-Client. Wo kommt das denn her?? Ich kann die Verbindung dann dennoch herstellen und mit den RemoteApps problemlos arbeiten, würde halt gerne wissen ob man die Abfrage irgendwie für die User ausblenden kann und vor allem wo dieses Zertifikat her kommt.

    hat jemand irgendeine Idee??

    Viele Grüsse
    Quetmek
    Dienstag, 2. März 2010 13:58

Antworten

  • die Lösung:

    das richtige Zertifikat muss auch in den Eigenschaften des RDP-Protokolls ausgewählt werden unter "Konfiguration des Remotedesktop-Sitzungshost -> Verbindungen > RDP-TCP"

    Gruss
    Tomasz
    Donnerstag, 4. März 2010 15:22

Alle Antworten

  • vielleicht noch mal als Update:

    wenn ich intern über https://server1.intdomain.local/rdweb zugreife und die RemoteApps starte, erscheint diese ominöse Zertifikatsabrage nicht..
    Dienstag, 2. März 2010 14:08
  • Hi Quetmek

    ist das o.g. selbstsignierte Zertifikat auf dem server1.intdomain.local im IIS unter Server Zertifikate aufgelistet?

    Gruß
    Andrei
    Mittwoch, 3. März 2010 09:29
    Moderator
  • Hallo Andrei,

    Du meinst unter "bindungen" SSL-Zertifikat auf der Default Web Site? Nein, dort ist das von der Zertifizierungsstelle ausgestellte Zertifikat eingebunden.

    Gruss
    Tomasz
    • Bearbeitet Quetmek Mittwoch, 3. März 2010 16:01
    Mittwoch, 3. März 2010 10:42
  • Hi Tomasz

    überprüffe bitte ob das o.g. selbstsignierte Zertifikat auf dem Server1 installiert ist.

    1. mmc.exe auf server1 ausführen.
    2. Datei - Snap-In hinzufügen.
    3. Zertifikate, Computerkonto auwählen.
    4. Unter Eigene Zertifikate, Zertifikate, überprüfen ob das selbsignierte Zertifikat mit dem Zertifikat der bei der Remote App Verbindung benutzt wird, übereinstimmt.

    Gruß
    Andrei
    • Als Antwort markiert Quetmek Mittwoch, 3. März 2010 16:01
    • Tag als Antwort aufgehoben Quetmek Mittwoch, 3. März 2010 16:01
    Mittwoch, 3. März 2010 15:07
    Moderator
  • Hallo Andrei,

    auch dort ist nur das von der Zertifizierungsstelle erstellte Zertifikat..

    Gruss
    Tomasz

    Mittwoch, 3. März 2010 16:02
  • Hallo Andrei,

    ist grundsätzlich die Konstellation und die Konfiguration so in Ordnung oder mache ich etwas falsch?

    Gibt es alternative Möglichkeiten?

    Danke+Gruss
    Tomasz
    Donnerstag, 4. März 2010 11:17
  • die Lösung:

    das richtige Zertifikat muss auch in den Eigenschaften des RDP-Protokolls ausgewählt werden unter "Konfiguration des Remotedesktop-Sitzungshost -> Verbindungen > RDP-TCP"

    Gruss
    Tomasz
    Donnerstag, 4. März 2010 15:22