none
starten von RD-Applikationen nur intern möglich - SBS2011 und TS RRS feed

  • Frage

  • Hallo Profis,

    ich bin seit Tagen auf der Suche nach einer Problemlösung und hänge vollkommen fest.
    Der Fehler ist gasnz ähnlich diesem Thema:
    http://social.technet.microsoft.com/Forums/de-DE/forefrontde/thread/30ecd579-8a9f-4d45-bdcb-59fcac3f899a

    Allerdings habe ich keinen ISA oder TMG und wüsste nicht was ich in IIS einstellen sollte.


    Die Kiste sollte eigentlich heute "life" gehen aber so kann man das nicht verantworten.

    Serverscenario:
    - W2k8R2 als Hyper-V Host
    - VM1: SBS2011 als Exchange-Server, Sharepoint, SUS, AD/Userverwaltung und RD-Licensing, RD-Gateway, RD-WebAccess
    - VM2: W2K8R2 als Terminalserver (nur RD-Sitzungshost) für 3 Anwendungen
    - Router ist eine Fritzbox, Ports 443, 987, 1723, GRE und 3389 sind geöffnet und zeigen auf die SBS-VM
    - die beiden virtuellen Server haben die FritzBox als Gateway und den SBS als DNS konfiguriert.

    - die externen Win7-Notebooks sind keine Domänen-Mitglieder, die User natürlich schon

    Es gibt eine
    interne AD-Domain: firma-int.local
    externe Domain:firma_ex.de beim ISP gehostet (Exchange-mail)

    Zugriff erfolgt von aussen und klappt einwandfrei auf:
    firma.dyndns.org/owa
    firma.dyndns.org/remote

    Problem:
    Aus dem Internet kann ich zwar die https://my.domain.de/rdweb aufrufen und es werden auch alle "Apps" synchronisiert und angezeigt aber wenn ich eine starte, kommt nach einigen Sekunden die Meldung: "Der Remotecomputer wurde nicht gefunden. Wenden Sie sich wegen dieses Fehlers an den Helpdesk."

    Aus dem LAN klappt der Zugriff einwandfrei.

    OWA und REMOTE geht einwandfrei aus dem Internet. (ist beides auf dem SBS)


    Wo könnte das Problem liegen - meine letzten Ideen:


    Ich kann keine zu den Anmeldeversuchen korrespondierenden Ereignislogs finden.
     

    A) Könnte das Problem schon an dem Eingansrouter liegen?
    Werden evtl. zusätzsäliche Ports benötigt? Eingentich nicht da RDWEB über Port 443 reinkommt (wird weitergeleitet)

    B) Die Firewalls von SBS und TS hatte ich probehalber komplett deaktiviert - kein Erfolg. Hier wird offenbar nichts geblockt.

    C) RD-Gateway:
    Beim Zugriff aus dem Internet erfolgt der Zugriff über das RD-Gateway.
    Wo könnte hier ein Konfig-Problem auftreten.
    (Habe mich unendliche male durcg alle Menüpunkte und Einträg gequält mir ist nichts aufgefallen - blind?).

    D) Zertifikate oder Rechte:
    Wird hier ein "echtes" Zertifikat von einem Trustcenter benötigt?
    Oder fehlt noch irgendwo ein "verstecktes" Zugriffsrecht - was ich nicht kenne?


    Zusatz-Fragen:

    - Ist es sinnvoller das RD-Gateway und/oder Web Access für RD auf dem SBS zu betreiben oder auf dem dem TS ?
        -> Habe beides probiert, der Fehler bleibt gleich...

    - Wäre es sinnvoll den RD-Broker einzusetzen?


    Für jede Hilfe und weiterführende Idee äusserst dankbar.

    Gruß Paul

    Donnerstag, 4. August 2011 11:14

Antworten

  • Hallo Paul,
     
    > ich bin seit Tagen auf der Suche nach einer Problemlösung und hänge
    > vollkommen fest. Der Fehler ist gasnz ähnlich diesem Thema:
    >
    >
    > Allerdings habe ich keinen ISA oder TMG und wüsste nicht was ich in IIS
    > einstellen sollte.
    >
    >
    >
    > Die Kiste sollte eigentlich heute "life" gehen aber so kann man das
    > nicht verantworten.
    >
    > Serverscenario: - W2k8R2 als Hyper-V Host - VM1: SBS2011 als
    > Exchange-Server, Sharepoint, SUS, AD/Userverwaltung und RD-Licensing,
    > RD-Gateway, RD-WebAccess - VM2: W2K8R2 als Terminalserver (nur
    > RD-Sitzungshost) für 3 Anwendungen - Router ist eine Fritzbox, Ports
    > 443, 987, 1723, GRE und 3389 sind geöffnet und zeigen auf die SBS-VM -
    > die beiden virtuellen Server haben die FritzBox als Gateway und den SBS
    > als DNS konfiguriert.
    >
    > - die externen Win7-Notebooks sind keine Domänen-Mitglieder, die User
    > natürlich schon
    >
    > Es gibt eine interne AD-Domain: firma-int.local externe
    > Domain:firma_ex.de beim ISP gehostet (Exchange-mail)
    >
    > Zugriff erfolgt von aussen und klappt einwandfrei auf:
    > firma.dyndns.org/owa firma.dyndns.org/remote
    >
    > Problem: Aus dem Internet kann ich zwar die https://my.domain.de/rdweb
    > aufrufen und es werden auch alle "Apps" synchronisiert und angezeigt
    > aber wenn ich eine starte, kommt nach einigen Sekunden die Meldung: "Der
    > Remotecomputer wurde nicht gefunden. Wenden Sie sich wegen dieses
    > Fehlers an den Helpdesk."
    >
    > Aus dem LAN klappt der Zugriff einwandfrei.
    >
    > OWA und REMOTE geht einwandfrei aus dem Internet. (ist beides auf dem
    > SBS)
     
    Vermutlich hast Du vergessen, den RemoteApps die richtigen RDS-Gateway (in
    Deinem Senario ist der SBS 2011 das RDS-Gateway -> von extern:
    "firma.dyndns.org") Einstellungen mitzugeben.
     
    Alles weitere hier:
     
    Configure Remote Desktop Gateway Settings
     
     
    Weitere Checkliste:
     
    Checklist: Make RemoteApp Programs Available from the Internet
     
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
     
    • Als Antwort markiert PS-Alpha Donnerstag, 4. August 2011 21:21
    • Tag als Antwort aufgehoben PS-Alpha Donnerstag, 4. August 2011 21:22
    • Als Antwort markiert PS-Alpha Freitag, 5. August 2011 17:10
    Donnerstag, 4. August 2011 14:15
    Moderator

Alle Antworten

  • Hallo Paul,

     

    hast Du das Zertifikat des Servers in die Vertrauenswürdigen Stammzertifikate importiert? Ohne das läuft es schon mal nicht.

    Überprüfe auch im IIS das RDWeb mit den entsprechenden Berechtigungen und überprüfe das aktivierte Protokoll (http - https).

    Denk an die Sicherheitsgruppe RDWebAccess.

    Dann erstmal viel Glück!

    Grüße

    OllyGermany

     

     

     

     

     

     

     

    Donnerstag, 4. August 2011 12:58
  • Hallo Paul,
     
    > ich bin seit Tagen auf der Suche nach einer Problemlösung und hänge
    > vollkommen fest. Der Fehler ist gasnz ähnlich diesem Thema:
    >
    >
    > Allerdings habe ich keinen ISA oder TMG und wüsste nicht was ich in IIS
    > einstellen sollte.
    >
    >
    >
    > Die Kiste sollte eigentlich heute "life" gehen aber so kann man das
    > nicht verantworten.
    >
    > Serverscenario: - W2k8R2 als Hyper-V Host - VM1: SBS2011 als
    > Exchange-Server, Sharepoint, SUS, AD/Userverwaltung und RD-Licensing,
    > RD-Gateway, RD-WebAccess - VM2: W2K8R2 als Terminalserver (nur
    > RD-Sitzungshost) für 3 Anwendungen - Router ist eine Fritzbox, Ports
    > 443, 987, 1723, GRE und 3389 sind geöffnet und zeigen auf die SBS-VM -
    > die beiden virtuellen Server haben die FritzBox als Gateway und den SBS
    > als DNS konfiguriert.
    >
    > - die externen Win7-Notebooks sind keine Domänen-Mitglieder, die User
    > natürlich schon
    >
    > Es gibt eine interne AD-Domain: firma-int.local externe
    > Domain:firma_ex.de beim ISP gehostet (Exchange-mail)
    >
    > Zugriff erfolgt von aussen und klappt einwandfrei auf:
    > firma.dyndns.org/owa firma.dyndns.org/remote
    >
    > Problem: Aus dem Internet kann ich zwar die https://my.domain.de/rdweb
    > aufrufen und es werden auch alle "Apps" synchronisiert und angezeigt
    > aber wenn ich eine starte, kommt nach einigen Sekunden die Meldung: "Der
    > Remotecomputer wurde nicht gefunden. Wenden Sie sich wegen dieses
    > Fehlers an den Helpdesk."
    >
    > Aus dem LAN klappt der Zugriff einwandfrei.
    >
    > OWA und REMOTE geht einwandfrei aus dem Internet. (ist beides auf dem
    > SBS)
     
    Vermutlich hast Du vergessen, den RemoteApps die richtigen RDS-Gateway (in
    Deinem Senario ist der SBS 2011 das RDS-Gateway -> von extern:
    "firma.dyndns.org") Einstellungen mitzugeben.
     
    Alles weitere hier:
     
    Configure Remote Desktop Gateway Settings
     
     
    Weitere Checkliste:
     
    Checklist: Make RemoteApp Programs Available from the Internet
     
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
     
    • Als Antwort markiert PS-Alpha Donnerstag, 4. August 2011 21:21
    • Tag als Antwort aufgehoben PS-Alpha Donnerstag, 4. August 2011 21:22
    • Als Antwort markiert PS-Alpha Freitag, 5. August 2011 17:10
    Donnerstag, 4. August 2011 14:15
    Moderator
  •  

    Hallo OllyGermany,

    danke für die Hiweise:

    - Vertrauenswürdigen Stammzertifikate habe ich auf den Clients importiert  

    - IIS -> Sbs-Server -> Sites -> Default Web Site -> RDWeb hat Berechtigungen (lesen/ausführen;anzeigen, lesen] für "RDWebAccess" vorhanden

    Grüße
    Paul

     

     

     

    Donnerstag, 4. August 2011 15:39
  • @Tobias Redelberger.

    Hallo Tobias,

    ich arbeite die Anleitungen heute nochmal ab und melde später ob was passendes dabei war.

    Herzlichen dank bis dahin
    Paul

     

    Donnerstag, 4. August 2011 15:41
  •  Hallo Tobias,
    • Vermutlich hast Du vergessen, den RemoteApps die richtigen RDS-Gateway (in Deinem
    • Senario ist der SBS 2011 das RDS-Gateway -> von extern: "firma.dyndns.org") Einstellungen mitzugeben.
    • Alles weitere hier:Configure Remote Desktop Gateway Settings
    • http://technet.microsoft.com/en-us/library/cc772479.aspx
    •  
     das war schon der richtige Ansatz...
     

    nun vergessen hab ichs nicht, schlicht nicht verstanden wie das zu konfigurieren ist.
    Im Buch von Hr. Joos stand da dass man das besser auf "automatisch" lässt was ich befolgte.

    Bei meinen Änderungs-Versuchen hab ich ich stets den "internen" Namen "sbs.firma.local" des GW eingetragen.
    Da dort explizit nach dem FQDN des RD-Gateways gefragt wurde habe ich das auch stets so ausgefüllt.
    (zumal ich davon ausging, wenn man erst am GW angekommen ist, sind interne Namen passend...)

    Mit der externen "firma.dyndns.org" sieht das wesentlich besser aus ;-)

    Jetzt scheint noch ein kleines Zertifikatsproblem vorhanden zu sein dass ich (hoffentlich) morgen mit einem Thawte-SLL-Cert erschlagen werde.

    Nochmal ganz herzlichen Dank
    Paul 

    [PS: wenn ich mal in B bin gebe ich dir gerne mal nen Schoppen aus]

     


    Donnerstag, 4. August 2011 21:38