none
Unterstützung benötigt - externer Zugriff auf RDS-Umgebung OHNE VPN RRS feed

  • Frage

  • Moin Moin,

    ich sitze gerade vor der Aufgabe für einen Kunden einen neuen Terminalserver aufzusetzen.
    Dieser soll sich allerdings über das Internet für Außendienstmitarbeiter präsentieren - und das ohne VPN.

    Intern funktioniert alles problemlos.
    Extern kann ich mich beim RDWeb anmelden und komme auch auf die Oberfläche:


    Wenn ich dort allerdings die Verbindung zum Server herstellen möchte, dann erhalte ich folgende Fehlermeldung:

    Nun meine Frage: Bitte sagt mir, wo ich die richtigen Einstellungen hierfür zu setzen habe. Ich hatte vermutet die Einstellungen befinden sich im Remotedesktop-Gateway-Manager.

    Ich bin über jeden hilfreichen Tipp dankbar.

    Folgendes ist bisher passiert:
    - RD-Sessionhost-Server aufgesetzt inkl. Lizensierung, RD-Broker, RD-Gateway
    - Portforwarding auf der Firewall wurde eingerichtet
    - Zertifikat auf dem externen PC installiert
    - DNS Eintrag für die externe URL wurde gesetzt
    - Gateway CAP und RAP zu Testzwecken angepasst auf die geringensten Einschränkungen --> leider kein Erfolg

    Vielen Dank vorab für eure Mühen
    Liebe Grüße

    Dienstag, 30. April 2019 09:38

Alle Antworten

  • Moin,

    was steht denn im EventLog "Application and Services Logs\Microsoft\Windows\Terminal Services-Gateway" zu den fehlgeschlagenen Verbindungsversuchen?

    Wurde auf dem RDG auch UDP erlaubt? Und gibt es dafür auch einen Port Forward auf der Firewall?

    Was sind denn "die geringsten Einstellungen" bei CAP+RAP?

    Hast Du sichergestellt, dass die internen, funktionierenden Verbindungen über den RDG gehen?


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Dienstag, 30. April 2019 10:37
  • Moin Evgenij,

    zuerst einmal vielen Dank für deine Antwort. :-)

    1. Im Eventlog finde ich folgende Meldung: Der Benutzer "XXXX\Administrator" auf dem Clientcomputer "90.XXX.XX.33" hat die Anforderungen der Verbindungsautorisierungsrichtlinie nicht erfüllt. Daher wurde der Zugriff auf den Remotedesktop-Gatewayserver verweigert. Als Authentifizierungsmethode wurde "NTLM" und als Verbindungsprotokoll wurde "HTTP" verwendet. Fehler: "23003".

    2. RDG über UDP soll von außen nicht möglich sein. Ich wollte nur über den TCP 443 von außen mit dem Server kommunizieren. Deshalb gibt es bisher nur den TCP-Forwarder.

    3. "die geringsten Einstellungen" - Ich gebe zu, das war doof ausgedrückt. ;-)
    Ich meinte damit, dass ich die Einschränkungen komplett gelockert hatte (zu Testzwecken natürlich).
    Hier einmal die Konfigurationen:

    CAP:
    Wenn der Benutzer Mitglied einer der folgenden Benutzergruppen ist:
    XXXX\Domänen-Benutzer, XXXX\Domänen-Admins
    Wenn der Clientcomputer Mitglied einer der folgenden Computergruppen ist:
    Nicht zutreffend (es wurde keine Computergruppe angegeben)
    Wenn der Benutzer folgende unterstützte Windows-Authentifizierungsmethoden verwendet:
    Kennwort
    Zulassen, dass der Benutzer eine Verbindung mit diesem Remotedesktop-Gatewayserver herstellt, und die Geräteumleitung für die folgenden Clientgeräte deaktivieren:
    Nicht zutreffend (Geräteumleitung ist für alle Clientgeräte zulässig)
    Wenn Leerlaufzeitlimit erreicht ist:
     - Nicht zutreffend (keine Leerlaufzeitüberschreitung)
    Wenn Sitzungszeitlimit erreicht ist:
     - Nicht zutreffend (keine Sitzungszeitüberschreitung)

    4. interner Test über RD-Gateway:

    Ja, intern habe ich den Gateway mit eingetragen. Ich denke das sollte so korrekt sein.

    Ich hoffe damit kommen wir der Sache etwas näher. :-)


    Dienstag, 30. April 2019 12:08
  • Moin,

    das Häckchen "Gateway für lokale Adressen umgehen" dürfte dazu führen, dass intern der RDG nicht verwendet wird. Aber Du siehst es auch im Status der RDP-Verbindung, ob der RDG verwendet wurde oder nicht.

    Andere Frage: Ist Dein Server Mitglied der Gruppe "RAS- und IAS-Server"?


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Dienstag, 30. April 2019 12:40
  • Stimmt, den Haken habe ich nun einmal entfernt underhalte dann folgende Meldung:

    Die Gruppe "RAS- und IAS-Server" beinhaltet den neuen Server:

    Dienstag, 30. April 2019 14:41
  • Moin,

    und lautet das Zertifikat, was Du hoffentlich in den Eigenschaften der RDS-Bereitstellung für RDG eingespielt hat, auf den Namen, der aufgerufen wird?

    Und ist dieses Zertifikat aus Sicht des Clients, des Servers selbst und der Domain Controller vertrauenswürdig?



    Evgenij Smirnov

    http://evgenij.smirnov.de

    Dienstag, 30. April 2019 14:48
  • Ja, das Zertifikat lautet rd.(Domäne).de und wurde auch beim Gateway so hinterlegt. 
    Ich habe das Zertifikat auf dem RDS-Server und den Clients installiert. Auf dem DC allerdings nicht.
    Ist es zwingend erforderlich auch auf dem DC das Zertifikat zu installieren? Dann hole ich dies gleich nach.
    Donnerstag, 2. Mai 2019 06:14
  • Moin,

    was meinst Du mit "Zertifikat installieren"? Ist es ein selbstsigniertes? Ist es von einer CA? Wird der CA vertraut? Funktioniert das Revocation Checking?

    RDG ist (aus verständlichen Gründen) sehr pingelig, was das Vertrauen angeht, ist ja eine Security-Komponente. Das Vertrauen (inkl. Revocation, falls das Zertifikat von einer CA stammt) muss auf der ganzen Linie hergestellt sein.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Donnerstag, 2. Mai 2019 06:40
  • Moin Evgenji,das Zertifikat wurde selbstsigniert und ist nicht von einer CA. Ich kann aber auch gerne ein Zertifikat bei einer CA anfragen, wenn das mehr Sinn ergibt.
    Da ich aber in einer "Testphase" bin, habe ich das vorerst mit dem selbstsignierten Zertfikat probieren wollen.


    Donnerstag, 2. Mai 2019 11:38
  • Moin,

    woher das Zertifikat kommt, ist erst mal egal, aber es muss ihm vertraut werden. Das heißt, wenn es ein selbstsigniertes ist, muss es in "Trusted Roots" stehen, zumindest beim RDSH, RDG und den zugreifenden Clients.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Donnerstag, 2. Mai 2019 14:04