locked
TMG, publishing von Remote Desktop GW und RD Webaccess, Anmeldung mit Client Zertifikat RRS feed

  • Frage

  • Hallo,

    Ich möchte Remote Desktop (RDWA) und Remote Desktop Gateway (RDG) am TMG publishen und die Anmeldung über ein Client Zertifikat authentifizieren.

    Die Zertifikate sind über eine PKI erstellt.
    Das Anmeldung über TMG funktioniert mit integrierter HTTP Authentication und Kerberos Constraint Delegation (KCD).
    Die Interne Anmeldung am RDG mit SSL Client Zertifikat klappt auch.

    Wenn im TMG Listener "require SSL client certificate" gewählt wird, kann ich mich nicht mehr am RDG anmelden.
    Auch nicht, wenn ich die Authentifizierung im TMG Listener auf "SSL Client Ceritificate Authenticaton" ändere.

    Fehler:
    ---------------------------
    Remotedesktopverbindung
    ---------------------------
    Für den Computer kann keine Verbindung mit dem Remotecomputer hergestellt werden, da das Zertifikat des Remotedesktop-Gatewayservers abgelaufen oder gesperrt ist. Wenden Sie sich an den Netzwerkadministrator, um Hilfe zu erhalten.

    Die CRL Distibution Points liegen sowohl intern (LDAP) als auch auf einem externen server (HTTP).

    Die internen Zertifikate am TMG und RDG werden akzeptiert. Warum die Client Cert anmeldung am TMG nicht?

    Jemand ne Idee?


    Sysadmin
    Mittwoch, 30. November 2011 18:30

Alle Antworten

  • Hi,

    ich nehme an:

    Verbindung Internet - TMG ist https und TMG - RDG ist auch https ...

    Prüfe mal auf dem RDG das Zertifikat für die Webseite auf Namen, Ablaufdatum und Sperrlistenprüfung. Die Authentifizierung am TMG muss SSL-Zertifikate und die am RDG auf "Integratet" sein. Bei der Kerberos Delegation brauchst du die Einstellung Kerberos/Any Protocol und dann delegieren auf http/RDG-Server (Der Name sollte dann auch in der Veröffentlichungsregel und im Zertifiikat stehen)

     


    Viele Grüße Carsten
    Montag, 5. Dezember 2011 06:16
  • Hi,

    Stimmt TMG ist https und TMG -> RDG ist auch https.

    Das RDG Zertifikat und SSL Clientzertifikat ist gültig.
    CRL ist intern und extern zugreifbar und aktuell. Die Zertifikats Namen stimmen überein:

    - Anmeldung TMG - RDWA mit SSL Clientzertifikat ist OK.
    - Anmleung RDWA - RDG mit SSL Clientzertifikat ohne TMG ist auch OK.
    - Anmleung TMG - RDWA - RDG mit SSL Clientzertifikat schlägt fehl.

    Komme nicht drauf, was noch fehlt.
    Hat jemand eine TMG - RDWA - RDG Anmeldung mit SSL Clientzertifikat realisiert?


    Christoph
    Montag, 5. Dezember 2011 10:46