none
Certificat Gateway RDS 2012 RRS feed

  • Question

  • Bonjour à tous,

    j'essaie de mettre en place une infra RDS sur Windows Server 2012 avec l'utilisation d'une passerelle pour les utilisateurs externes. j'ai un nom public (ftp.labo.com) qui pointe vers mon IP pubique et une redirection de flux https est mis en place sur mon firewall vers mon serveur WEB. Et un domaine privé AD regroupe mes machines (dom.priv.local)
    j'accède donc à la console via https://ftp.labo.com/rdweb

    Voici les serveurs et rôles associés :

    SRVAD
    BROKER (Broker, gestionnaire de Licence et Gateway)
    TSWEB (RDWeb)
    RDS1 (hôte NLB RDS)
    RDS2 (hôte NLB RDS)

    Dans l'optique d'installer un certificat autosigné, faut il que je désigne en nom commun du certificat celui du nom publique (c'est à dire ftp.labo.com) ou le nom du serveur qui héberge le service Gateway (cad BROKER.dom.priv.local) ?

    Merci d'avance



    • Modifié popoyo vendredi 1 mars 2013 15:31
    vendredi 1 mars 2013 10:02

Réponses

  • Re

    Ayant une ferme de serveur TSE, il était nécessaire d'intégrer explicitement ds la liste des ressources accessibles, de la stratégie RAP du serveur Gateway (NPS), le nom de la ferme ainsi que ses membres.

    L'info peut servir ^^

    • Marqué comme réponse popoyo mercredi 6 mars 2013 01:01
    mercredi 6 mars 2013 01:01

Toutes les réponses

  • Ne sachant pas quoi faire, j'ai crée un certificat délivré par ma CA avec tt les noms de mes machines RDS ^^ en SAN(ftp.labo.com, broker...). Le seul probleme c'est que j'ai une erreur ne me permettant pas de me connecter aux ressources publiées. La voici :

    "Cet ordinateur ne peut pas se connecter à l'ordinateur distant car l'adresse du serveur passerelle terminal server est provisoirement incaccessible."

    Le message est le même pour un accès aux ressources web ou via connexion ts sur ordinateurs de la société, tout ça depuis l'exterieur biensur.

    Les stratégies NPS sont pourtant bien là et autorisant par défaut les users du domaine à acceder aux ordinateurs du domaine CAP + RAP. Le certificat quant à lui est bien installé coté client, pour preuve je n'ai pas de message d'avertissement.

    Je ne sais pas d'ou est ce que ça pourrait provenir...
    pour info les accès se font bien en interne

    Merci d'avance pour votre aide.

    dimanche 3 mars 2013 14:01
  • Alors j'ai pu résoudre le problème, les flux https étant redirigés su le serveur TSWEB, cela ne risquait pas de marchait ne disposant que d'une adresse IP publique. J'ai donc mis en place la redirection vers le serveur passerelle et la connexion tse via passerelle depuis l'exterieur est maintenant possible. En revanche, pour ce qui est du TSWEB je l'ai installé sur le même serveur que la Gateway, j'ai cependant cette erreur lors de la tentative d'accès aux ressources pubiées (word, outlook..) :

    J'ai pourtant autorisé dans la stratégie d'accès aux ressources (RAP) le groupe de serveur tse comme faisant partie des ressources accessibles à tous les utilisateurs du domaine...

    Si il n' y a nulle part ou spécifier un programme Remoteapp comme devant être accessible depuis l’extérieur, c'est qu'implicitement après le déploiement cela devrait marcher.

    Si quelqu'un peut m'éclairer. merci d'avance





    • Modifié popoyo lundi 4 mars 2013 22:51
    lundi 4 mars 2013 22:45
  • Re

    Ayant une ferme de serveur TSE, il était nécessaire d'intégrer explicitement ds la liste des ressources accessibles, de la stratégie RAP du serveur Gateway (NPS), le nom de la ferme ainsi que ses membres.

    L'info peut servir ^^

    • Marqué comme réponse popoyo mercredi 6 mars 2013 01:01
    mercredi 6 mars 2013 01:01
  • Bonjour Popoyo,

    Je me permet de rebondir sur ton fil, car je tente de créer la même architecture que la tienne.

    Je voulais simplement savoir comment tu avais réussi à placer ta Gateway dans la DMZ, et la faire communiquer avec tes serveur hébergeant tes applicatifs dans ton LAN?

    (Tu as ouvert des ports? Comment as tu récupéré tes users de ton AD?)

    Merci par avance de ta réponse.

    Florian B.

    mardi 12 mars 2013 12:56