none
RD Web Access usando RD Gateway y RD Connection Broker RRS feed

  • Pregunta

  • Hola,

    Estoy configurando un entorno con RD Web Access, en el que tengo un servidor que realiza las funciones de Connection Broker y otro diferente que realiza las funciones de RD Gateway, la configuracion es la siguiente:

    svgw001 - Realiza las funciones de RD Gateway

    svcb001 - Realiza las funciones de RD Connection Broker ademas de RD Web Access

    svrd001 y svrd002 - Son los servidores donde estan instalados los programas que ejecutaran los clientes desde el RD Web Access

    He conseguido configurar el RD Web Access para que funcione a traves del Connection Broker, tambien he configurado el Gateway para comprobar que puedo acceder a los servidores svrd001 y svrd002 correctamente usando el MSTSC.

    La pregunta es: ¿Como puedo configurar el svcb001 para que utilize el svgw001 como puerta de enlace para la conexion?¿Se puede hacer estando los dos roles en equipos diferentes o tengo que usar un unico servidor?

    Saludos y gracias,

    Toni Cañellas

    miércoles, 3 de octubre de 2012 15:54

Respuestas

  • Hola Toni,

    Perdona la demora en contestar.

    La infraestructura que comentas entra dentro de los normal, pero te falta un dellate. Al tener 2 servidor RDSH y querer hacer balanceo de carga debe configurar un sistema de balanceo. El RDCB en sí no es un sistema que realice balanceo sino que es capaz de almacenar la información de sesiones de los usuarios conectados para -en caso de desconexión- lo conecte al mismo frontal.

    Como sistema de balanceo podrías usar DNS Round Robin o bien NLB, que te los ofrece el mismo WS2008R2. Una vez configurado, tu servidor RDGW y RDCB debe referenciar el nombre dado al balanceo de RDSH (por ejemplo, granjaRDSH.midominio.local). Del mismo modo, en referencia a los certificados SSL, deberás crear un certificado SSL con el nombre de la granja, que deberás instalar en cada RDSH.

    Te dejo algunos links que te aporta mas información al respecto.

    Configure DNS for Load Balancing
    http://technet.microsoft.com/en-us/library/gg398251.aspx

    Checklist: Create a Load-Balanced RD Session Host Server Farm by Using RD Connection Broker
    http://technet.microsoft.com/en-us/library/cc753891.aspx

    Overview of Network Load Balancing
    http://technet.microsoft.com/en-us/library/cc725691.aspx


    Un saludo,

    Tomas Hidalgo

    Colobora con el foro: Si la respuesta es de utilidad para resolver tu duda/problema, usa la opción "Marcar como repuesta". Otros usuarios con dudas similares -en un futuro- lo agradecerán.

    • Marcado como respuesta Toni Cañellas jueves, 11 de octubre de 2012 7:08
    miércoles, 10 de octubre de 2012 18:57
    Moderador
  • Hola,

    Para los usuarios externos que vayan a acceder usando el RDGW debes instalar un certificado SSL cuyo nombre (Subject) sea el nombre publico que usarán para conectarse a tu RDGW, Por ejemplo: externo.midominio.com. Lo normal que esté firmado por una CA autorizada (Versign, o similar). También te puede valer un certificado autofirmado o generado con tu CA interna, pero en ese caso deberás suministrar a los usuarios externos la CA usada. El nombre externo.mi_dominio.com debe resolverse públicamente.

    El certificado para la granja y tus servidores puede estar firmado con tu CA interna.

    Otra opción, que entiendo también la quieres implementar, es que tus usuarios externos e internos se conecten al RDWA para ejecutar remoteApp. En este caso, los usuarios externos debe acceder al RDWA usando un nombre DNS publico, mientras que los internos les valdría el nombre DNS interno. Para este caso, existen varias opciones:

    • Lo más "sencillo" -pero a su vez lo mas costoso en términos monetarios- consiste en configurar un certificado SAN, es decir, un certificado que posee dos (ó mas) Subjects. En tu caso sería, rdweb.midominio.com y rdweb.midominio.local.
    • Si dispone de un fw perimetral (F5, o similar) puedes publicar tu RDWA con rdweb.midominio.com y que lo redireccione al servidor interno (rdweb.midominio.local)
    • Split DNS, consiste en crear una zona en tus DNS internos para que rdweb.midominio.com se resuelva con la IP interna accesible por los equipos internos de tu red.
    • Otra opción relativamente sencilla consistiría en que tu RDweb escuche por el port 443 y port 80. Los usuarios externos se conectarían al port 443 en el que ofrecerías un certificado SSL con rdweb.midominio.com; mientras tus usuarios internos accederían a port 80 sin necesidad de usar SSL, asumiendo en este ultimo caso que esa información no va bajo SSL.

    Una forma de ver la interacción de todos los roles de RDS consiste en "echar un vistazo" al poster de arquitectura.

    http://download.microsoft.com/download/7/9/5/795935E3-C3BE-4F63-A621-513858951911/Remote-Desktop-Services-Component-Architecture.pdf

    Esperamos tus comentarios. Gracias.


    Un saludo,

    Tomas Hidalgo

    Colobora con el foro: Si la respuesta es de utilidad para resolver tu duda/problema, usa la opción "Marcar como repuesta". Otros usuarios con dudas similares -en un futuro- lo agradecerán.

    • Marcado como respuesta Toni Cañellas lunes, 15 de octubre de 2012 9:09
    jueves, 11 de octubre de 2012 18:16
    Moderador

Todas las respuestas

  • Hola Toni,

    No llego a comprender exactamente que deseas hacer cuando comentas "¿Como puedo configurar el svcb001 para que utilize el svgw001 como puerta de enlace para la conexion?"

    Esperamos tus comentarios. Gracias.


    Un saludo,

    Tomas Hidalgo

    Colobora con el foro: Si la respuesta es de utilidad para resolver tu duda/problema, usa la opción "Marcar como repuesta". Otros usuarios con dudas similares -en un futuro- lo agradecerán.

    viernes, 5 de octubre de 2012 19:46
    Moderador
  • Hola Tomas,

    Tal vez se trata de que tengo un cacao de conceptos :-), me intento explicar mejor. Lo que quiero, es tener una granja, con balanceador de carga, que este disponible tanto desde la red interna de la empresa como desde la red externa.

    Entiendo que para que la granja este disponible desde el exterior, debo emplear un Gateway (en mi caso el svgw001) y para que haya un correcto balanceo de carga debo emplear un Connection Broker (en mi caso el svcb001)... ¿O me estoy complicando mucho la vida?

    Saludos,

    Toni Cañellas

    martes, 9 de octubre de 2012 7:41
  • Hola Toni,

    Perdona la demora en contestar.

    La infraestructura que comentas entra dentro de los normal, pero te falta un dellate. Al tener 2 servidor RDSH y querer hacer balanceo de carga debe configurar un sistema de balanceo. El RDCB en sí no es un sistema que realice balanceo sino que es capaz de almacenar la información de sesiones de los usuarios conectados para -en caso de desconexión- lo conecte al mismo frontal.

    Como sistema de balanceo podrías usar DNS Round Robin o bien NLB, que te los ofrece el mismo WS2008R2. Una vez configurado, tu servidor RDGW y RDCB debe referenciar el nombre dado al balanceo de RDSH (por ejemplo, granjaRDSH.midominio.local). Del mismo modo, en referencia a los certificados SSL, deberás crear un certificado SSL con el nombre de la granja, que deberás instalar en cada RDSH.

    Te dejo algunos links que te aporta mas información al respecto.

    Configure DNS for Load Balancing
    http://technet.microsoft.com/en-us/library/gg398251.aspx

    Checklist: Create a Load-Balanced RD Session Host Server Farm by Using RD Connection Broker
    http://technet.microsoft.com/en-us/library/cc753891.aspx

    Overview of Network Load Balancing
    http://technet.microsoft.com/en-us/library/cc725691.aspx


    Un saludo,

    Tomas Hidalgo

    Colobora con el foro: Si la respuesta es de utilidad para resolver tu duda/problema, usa la opción "Marcar como repuesta". Otros usuarios con dudas similares -en un futuro- lo agradecerán.

    • Marcado como respuesta Toni Cañellas jueves, 11 de octubre de 2012 7:08
    miércoles, 10 de octubre de 2012 18:57
    Moderador
  • Hola Tomas,

    Muchas gracias por la información, me ha sido muy util, una ultima duda que me asalta. En referencia a los certificados SSL, dado que el nombre DNS interno (granjaRDSH.midominio.local) no coincide con el nombre al que se referencia desde Internet (granjaRDSH.midominio.com), deberia crear dos certificados SSL (uno interno y otro externo) e instalar ambos, ¿correcto?

    Saludos,

    Toni Cañellas

    
    jueves, 11 de octubre de 2012 7:08
  • Hola,

    Para los usuarios externos que vayan a acceder usando el RDGW debes instalar un certificado SSL cuyo nombre (Subject) sea el nombre publico que usarán para conectarse a tu RDGW, Por ejemplo: externo.midominio.com. Lo normal que esté firmado por una CA autorizada (Versign, o similar). También te puede valer un certificado autofirmado o generado con tu CA interna, pero en ese caso deberás suministrar a los usuarios externos la CA usada. El nombre externo.mi_dominio.com debe resolverse públicamente.

    El certificado para la granja y tus servidores puede estar firmado con tu CA interna.

    Otra opción, que entiendo también la quieres implementar, es que tus usuarios externos e internos se conecten al RDWA para ejecutar remoteApp. En este caso, los usuarios externos debe acceder al RDWA usando un nombre DNS publico, mientras que los internos les valdría el nombre DNS interno. Para este caso, existen varias opciones:

    • Lo más "sencillo" -pero a su vez lo mas costoso en términos monetarios- consiste en configurar un certificado SAN, es decir, un certificado que posee dos (ó mas) Subjects. En tu caso sería, rdweb.midominio.com y rdweb.midominio.local.
    • Si dispone de un fw perimetral (F5, o similar) puedes publicar tu RDWA con rdweb.midominio.com y que lo redireccione al servidor interno (rdweb.midominio.local)
    • Split DNS, consiste en crear una zona en tus DNS internos para que rdweb.midominio.com se resuelva con la IP interna accesible por los equipos internos de tu red.
    • Otra opción relativamente sencilla consistiría en que tu RDweb escuche por el port 443 y port 80. Los usuarios externos se conectarían al port 443 en el que ofrecerías un certificado SSL con rdweb.midominio.com; mientras tus usuarios internos accederían a port 80 sin necesidad de usar SSL, asumiendo en este ultimo caso que esa información no va bajo SSL.

    Una forma de ver la interacción de todos los roles de RDS consiste en "echar un vistazo" al poster de arquitectura.

    http://download.microsoft.com/download/7/9/5/795935E3-C3BE-4F63-A621-513858951911/Remote-Desktop-Services-Component-Architecture.pdf

    Esperamos tus comentarios. Gracias.


    Un saludo,

    Tomas Hidalgo

    Colobora con el foro: Si la respuesta es de utilidad para resolver tu duda/problema, usa la opción "Marcar como repuesta". Otros usuarios con dudas similares -en un futuro- lo agradecerán.

    • Marcado como respuesta Toni Cañellas lunes, 15 de octubre de 2012 9:09
    jueves, 11 de octubre de 2012 18:16
    Moderador
  • Genial, muchas gracias por todo Tomas.

    Saludos,

    Toni Cañellas

    lunes, 15 de octubre de 2012 9:09