none
RDP Gateway mit NPS über ISA Server --> Clients melden nicht NAP fähig RRS feed

  • Frage

  • Hallo Zusammen,

    ich richte gerade eine Terminalserverumgebung ein.
    In dieser Terminalserverumgebung nutze ich auch den Remotedesktopgateway, der über einen ISA Server per Webserververöffentlichung publiziert wird.

    Das funktioniert soweit wunderbar. Wenn ich allerdings im NPS Server die Überprüfung der Clients mit Integritätsrichtlinien etc. aktivieren möchte, meldet der NPS Server immer zurück, dass die Clients nicht NAP Fähig sind. Dienst etc. sind auf dem Client aktiviert.
    Das passiert aber auch immer nur, wenn ich als Remotedesktopgateway den ISA Server angebe, der den Netzwerkverkehr dann an den Gatway weiterleitet.
    Gebe ich bei den Clients aus dem internen Netzwerk direkt den Remotedesktopgateway als Gateway an, funktioniert alles einwandfrei und die Integritätsrichtlinie wird bestanden.

    Im ISA Server ist nur eine Weiterleitung des Verkehrs an den Gateway für alle Benutzer ohne Authentifizierung eingerichtet.
    Das ganze funktioniert auch super, wenn die NAP Fähigkeit nicht überprüft wird.

    Hoffe jemand kann mir helfen, warum das nicht funktioniert und wo ich schrauben muss.

    Danke im Voraus.

    Gruß
    Marc

    Dienstag, 1. März 2011 13:48

Antworten

Alle Antworten

  • Hi,

    was für Clients verwendest DU ? => http://technet.microsoft.com/en-us/library/cc731150.aspx

    und folgendes berücksichtigt ? => http://technet.microsoft.com/en-us/library/cc732902.aspx


    Gruß Ralph Andreas Altermann | Microsoft Partner Regional Technical Communities, Hamburg | Microsoft Partner Stammtisch Hamburg | Anmeldung/Registrierung unter http://www.xing.com/net/mpshh
    Dienstag, 1. März 2011 21:08
  • Hallo,

    vielen Dank für die Info.

    Es handelt sich hier ausschließlich um Windows 7 x64 Clients.

    Heißt das bezgl. http://technet.microsoft.com/en-us/library/cc732902.aspx  , dass ich die Ports ((UDP) ports 1812, 1813, 1645, and 1646) für das Internet freigeben muss? Ist das dann nicht sicherheitskritisch?

    Danke im Voraus.

    Gruß
    Marc

    Montag, 7. März 2011 15:09
  • Hi,

    > für das Internet freigeben muss?
    Leider Ja, so verstehe ich den Artikel, da selbst nie so umgesetzt, weil ansich RDP over SSL als sicher gilt und eingetl. NAP hier m.E. nicht benötigt wird.

    >Ist das dann nicht sicherheitskritisch?
    Jede Verbindung zum oder vom Internet ist kritisch :-))

    Sonst zumindest mit einer DMZ arbeiten und NAP/NPS vorverlagern.


    Gruß Ralph Andreas Altermann | Microsoft Partner Regional Technical Communities, Hamburg | Microsoft Partner Stammtisch Hamburg | Anmeldung/Registrierung unter http://www.xing.com/net/mpshh
    Montag, 7. März 2011 15:36
  • Hallo,

    ich habe nun zusätzlich zu der Webveröffentlichungsregel vom RDWEB eine Serververöffentlichungsregel für
    UDP Ports 1645-1646 und 1812-1813 Empfangen und Senden für das RDP Gateway eingerichtet.

    Leider funktioniert es weiterhin nicht. Ich bekomme immer Client nicht NAP fähig.

    Hab ich was falsch gemacht oder gibt es da noch was anderes?

    Danke im Voraus.

    Gruß
    Marc

    Dienstag, 15. März 2011 15:01