locked
Ts Access Web à travers Internet RRS feed

  • Question

  • Bonsoir,

    Je bute sur un problème de mise en place de remoteapps au travers d'internet.

    J'ai monté un serveur 2008 R2 avec les roles hote de session et access web TS.
    J'ai publié mes apps, en interne tout fonctionne bien, maintenant quand je fais de même à travers internet je rencontre un problème.

    J'arrive bien sur ma page ts web access a travers internet en tapant mail.entreprise.com/rdweb, je m'authentifie et vois les
    differentes applis publiés (calc, wordpad etc...), je lance Wordpad il me dis que le certificat n'est pas valide je continue et il me demande une authentification qua je rentre et là j'ai l'erreur suivante : "Cet ordinateur ne peut pas se connecter à l'ordinateur distant car l'autorité de certification qui à generé le certificat du serveur de passerelle des service terminal serveur n'est pas valide"

    Quand je fais afficher il me sors bien le certificat de mon serveur RDS qui s'est autosigné.

    Pour info : dans la paserelle des services bureau a distance j'au selctionner a coté de nom de serveur : mail.entreprise.com, cad le nom public.

    J'ai aussi installé le certificat sur le poste client et là il me dis que le certificat ne correspond pas au nom de la paserelle.

    J'ai redirigé sur mon routeur l'adresse publique vers mon serveur RDS au niveau des ports 3389,443 et 80.

    Merci bien, j'essayerais d'être plus précis si vous avez besoin d'informations complémentaires

    merci encore
    mercredi 17 février 2010 15:44

Réponses

  • Bonjour,
    Voilà personnellement ce que je ferai :
    Il faudrait avoir une machine qui fasse portail Web TS et Passerelle TS (je déconseille de mettre cela sur un TS ou sur un DC, pourtant lors de mes démos en cours mon contrôleur de domaine fait serveur de certificat, portail Web TS, et passerelle TS ... ;-) )
    il faut te générer un certificat à l'aide de certificat de serveur (modele serveur Web) à l'aide de la console gestionnaire des services IIS avec pour nom commun le nom public de connexion utilisé pour te connecter à ton portail WEB depuis l'exterieur (ex : TS.mondomaine.fr)  ... Il faut que tu utilises ce certificat à la fois pour IIS (liaison du port TCP 443 avec le certificat pour le site Web de ton IIS) et au niveau de la configuration de la passerelle TS.
    Tu paramètres tes aplications publiés pour utiliser ta passerelle TS (ts.mondomaine.fr) ...
    Tu dois positionner le certificat de ton autorité de certification dans le magasin des autorités racine de confiance de l'ordinateur client ...
    Ensuite tu crées tes stratégies de connexions utilisateurs sur la passerelle et tes stratégies d'accés au ressource sur la passerelle ... Si ton autorité de certification est correctement configuré pour publier ses CRL sur le WEB ça doit fonctionné correctement.

    Sinon tu peux aussi te contenter d'installer une passerelle avec un certificat autogénéré ... Mettre ce certificat dans le bon magasin coté client ... configuré tes remotteapp pour utiliser ta passerelle ...

    Bon courage
    Eric Perromat - MVP Terminal Server
    jeudi 18 février 2010 08:43

Toutes les réponses

  • Bonsoir,
    premierement je deconseille l'utilisation d'un certificat autosigné ... il vaut mieux installer sa propre autorité de certification et se générer ses propres certificats ce serait bien plus simple à paramètrer ...

    Le certificat de la passerelle doit être installé dans le magasin des certificats racine de confiance de l'ordinateur local ... Est ce le cas ?
    Ensuite au niveau du gestionnaire remoteapp, il faut paramétrer la rubrique  passerelle des services Terminal server avec le nom public ... Est ce le cas ?

    Il faut créer tes stragies de connexions et tes stratégies d'accès aux ressources ....

    Sinon pour une configuration avec un serveur de certificat en interne, c'est trés à rapide à faire pour quelqu'un qui connais bien, cela me prend environ 30 minutes lorsque je fais mes démonstrations en cours TS.


    Eric Perromat - MVP Terminal Server
    mercredi 17 février 2010 16:48
  • Bonsoir,

    merci déjà pour cette réponse rapide.

    Je peux monter une autorié de certification de domaine sur le réseau pas de pb, là ou je peche un peu c'est pour attribué les certificats et quel type (web ?).

    Ensuite je vous rapelle que je n'ai pas installé le role RDS GAteway , je n'ai que hote et web access, est ce obligatoire.

    J'ai bien renseigné sur le chemin de la paserelle dans le gestionnaire remote apps le nom public qui renvois vers mon serveur RDS.

    Je n'avais pas effectivement installé le certificat dans l'ordinateur local.

    Donc si je resume, j'exporte le certiicat du remote apps qui s'est autosigné, je l'installe dans le magasin de certificat autorité de confiance sur le poste local et ça devrais marcher ?

    Merci encore pour vos réponses

    bonne soirée
    mercredi 17 février 2010 17:58
  • Bonjour,
    Voilà personnellement ce que je ferai :
    Il faudrait avoir une machine qui fasse portail Web TS et Passerelle TS (je déconseille de mettre cela sur un TS ou sur un DC, pourtant lors de mes démos en cours mon contrôleur de domaine fait serveur de certificat, portail Web TS, et passerelle TS ... ;-) )
    il faut te générer un certificat à l'aide de certificat de serveur (modele serveur Web) à l'aide de la console gestionnaire des services IIS avec pour nom commun le nom public de connexion utilisé pour te connecter à ton portail WEB depuis l'exterieur (ex : TS.mondomaine.fr)  ... Il faut que tu utilises ce certificat à la fois pour IIS (liaison du port TCP 443 avec le certificat pour le site Web de ton IIS) et au niveau de la configuration de la passerelle TS.
    Tu paramètres tes aplications publiés pour utiliser ta passerelle TS (ts.mondomaine.fr) ...
    Tu dois positionner le certificat de ton autorité de certification dans le magasin des autorités racine de confiance de l'ordinateur client ...
    Ensuite tu crées tes stratégies de connexions utilisateurs sur la passerelle et tes stratégies d'accés au ressource sur la passerelle ... Si ton autorité de certification est correctement configuré pour publier ses CRL sur le WEB ça doit fonctionné correctement.

    Sinon tu peux aussi te contenter d'installer une passerelle avec un certificat autogénéré ... Mettre ce certificat dans le bon magasin coté client ... configuré tes remotteapp pour utiliser ta passerelle ...

    Bon courage
    Eric Perromat - MVP Terminal Server
    jeudi 18 février 2010 08:43
  • Merci beaucoup eric, tout marche !

    jeudi 18 février 2010 19:52
  • Je me permet de profiter de ce sujet car j'ai quasiment la meme erreur sauf que lorseque je fais afficher le certificat, ce n'est pas le bon qui est remonté mais celui de mon owa.
    vendredi 30 juillet 2010 09:45
  • Je pense que tu ferais mieux d'ouvrir ta propre discussion car tu n'est pas du tout dans le même cas, vu que tu as de l'OWA.
    Eric Perromat - MVP Terminal Server
    vendredi 30 juillet 2010 10:50