none
ISA 2006 + TS Gateway Публикация RRS feed

  • Вопрос

  • Доброе время коллеги,
    появилась необходимость  опубликовать  TS Gateway в интернет. Для  этого почитав  хелп, понял, что  достаточно будет пробросить HTTPS из инета. 

    Как  я  делал.
    На сервере TSG:
    Создал сертификат с  внутренним  именем сервера , к примеру SRV013.int.domain.ru, и повесил его  на TSG. Во вкладке bridging выбрал способ HTTPS-HTTPS.

    На сервере ISA:
    Запросил новый сертификат для  внешнего адреса, к примеру TS.domain.ru 
    Импортировал  его  на  ISA сервер, создаю  публикующее правило и листенер. 

    НА клиенте:
    Подключаюсь удаленно. В поле Компьютер  пишу  имя FQDN Терминального сервера. В поле Use these RD Gateway server  пишу внешнее имя ts.domain.ru 
     происходит подключение, ввожу  логин-пароль. 
    И подключаюсь, хм... странно,что publisher не определен, только у меня так? http://pic.ipicture.ru/uploads/091018/RMicVRDNJR.png
    Логинюсь.  Пишет  Logon attempt failed. 

    В это время на  ISA сервере:
    Наблюдаю следующие:
    Denied Connection
    Log type: Web Proxy (Reverse) 
    Status: 12202 The ISA Server denied the specified Uniform Resource Locator (URL). 
    Rule: [HTTPS] TS Gateway 
    Source: External (2.1.1.1) 
    Destination: (192.168.0.13:443) 
    Request: RPC_OUT_DATA https://SRV013.int.domain.ru:443/rpc/rpcproxy.dll?localhost:3388 
    Filter information: Req ID: 09e7b1c9; Compression: client=No, server=No, compress rate=0% decompress rate=0%
    Protocol: https 
    User: anonymous

    Рядом есть точно такой  же отчет в логе, только:
    Request: RPC_IN_DATA

    Нашел похожию тему: http://social.technet.microsoft.com/Forums/ru-RU/isaru/thread/5b813544-b080-4027-bb64-f68873126c0c но ничего не помогло, да и решения  там не было. У меня  изначально и было так настроено. 

    А теперь внимание вопрос: где же грабли и почему иса не пропускает запрос ? 


    Если сообщение было информативным, отметьте его как ответ. И нам приятно и сразу видно ответ на вопрос :-)
    18 октября 2009 г. 18:35

Все ответы

  • а клиент твоего паблишера знает? ты где брал сертификат ts.domain.ru?
    да и на ису надо импортировать оба сертификата
    19 октября 2009 г. 7:32
    Отвечающий
  • На клиенте импортирован корневой сертификат CA моего домена. 
    Сертификат  для ts.domain.ru был  запрошен через IIS на сервере TSG, точно так же как и для внутреннего FQDN имени (по которому собственно и работает внутри локалки).

    На ISA сервер не импортировал сертификат на FQDN внутреннего, т.е. на SRV013.int.domain.ru. Но есть корневой  сертификат, т.к. сервер в  домене. 

    Решил тут подключиться с  W2k3 с клиентом RDP 6,0. Получил ошибку с именем сертификата. Это уже лучше, сейчас  буду разбираться, а то  на Win7, просто логон не проходил. 

    Если сообщение было информативным, отметьте его как ответ. И нам приятно и сразу видно ответ на вопрос :-)
    19 октября 2009 г. 8:58
  • если сертификаты для внешнего и внутреннего имени разные то исе нужны оба сертификата. по первому она сама представляется клиенту, со вторым уже лезет на внутренний сайт.

    19 октября 2009 г. 12:43
    Отвечающий
  • Хм. А мне почему то казалось, что  сертификат для внутреннего имени не нужен, т.к. его он получит его когда  будет перенаправлять запрос от  внешнего клиента на внутренний сервер. Разве не так? 

    А по сути не помогло, добавил на  ISA сертификат  с внутренним FQDN в Comp\personal. 
    Все равно при подключении ошибка сертификата.

    Настройки на  ISA 2006: 
    http://pic.ipicture.ru/uploads/091019/FUEI34TtQd.jpg
    http://pic.ipicture.ru/uploads/091019/1gJS9fP3v3.jpg

    Настройки на TSG:
    http://pic.ipicture.ru/uploads/091019/3Ra3WaQr44.jpg
    http://pic.ipicture.ru/uploads/091019/NBvcsE2e3X.jpg

    чет уже запутался сам в том, что настраивал.

    Если сообщение было информативным, отметьте его как ответ. И нам приятно и сразу видно ответ на вопрос :-)
    19 октября 2009 г. 13:02
  • а кнопа test rule что нить говорит?

    19 октября 2009 г. 13:13
    Отвечающий
  • говорит, что все окей.
    Если сообщение было информативным, отметьте его как ответ. И нам приятно и сразу видно ответ на вопрос :-)
    19 октября 2009 г. 14:21
  • Еще добавлю немного: 
    у ISA сервера внешний интернет  заходит  от  впереди стоящего  W2k8 сервера, на котором установлен Winroute kerio. На керио стоит порт маппинг 443 порта на  ISA сервер. При таком раскладе  не испытывал никогда проблем, OWA работает. 

    А теперь сама история: 
    На сервере TSG
    Решил тут поиграться  с Remote app, поднял на сервере с TSG (На ISA сервере настройки остались старыми).  В качестве сертификата  указал ts.domain.ru 
    RD host session name : ts.domain.ru

    На ISA сервере:
    Настройки остались старыми:
    http://pic.ipicture.ru/uploads/091019/FUEI34TtQd.jpg
    http://pic.ipicture.ru/uploads/091019/1gJS9fP3v3.jpg

    На клиентском компе:
    -Захожу снаружи по https://ts.domain.ru/rdweb , странница  открывается без проблем (с сертификатом нет проблем) , Логон проходит нормально. 
    -Выбираю опубликованное приложение, к примеру Paint.Начинает что-то открываться.... И тут самое интересное: попадаю на сервер с Kerio (т.к. подходят пара логин-пароль от этого сервера и вначале подключения выводится  предупреждение о несоответствии сертификата. А там в имени уже FQDN этого сервера Kerio), который стоит перед исой. Причем попадаю  на него по RDP протоколу (смотрю по логам керио), а вовсе не по HTTPS. 

    RDP доступ к серверу  с Kerio открыт только с моего домашнего IP.

    После  этого я вообще не понимаю как  работает  этот TSG И TSRA.

    Вывод:  сертификат с TS.domain.ru, настроенный на ISA работает правильно, тк. по  HTTPS все открывается. Но при этом  при подключении по  RDP идут грабли.

    Если сообщение было информативным, отметьте его как ответ. И нам приятно и сразу видно ответ на вопрос :-)
    19 октября 2009 г. 16:03
  • Динь, ну а без Winroute ты пробовал?..
    19 октября 2009 г. 20:39
    Отвечающий
  • Без керио смогу  провернуть  смогу  только в  след. выходные. 
    Я вот что подумал, может он еще по каким портам лезет перед 443 ? А то на керио , нет нормального монитора соединений.


    Если сообщение было информативным, отметьте его как ответ. И нам приятно и сразу видно ответ на вопрос :-)
    20 октября 2009 г. 6:12
  • <...> 
    Я вот что подумал, может он еще по каким портам лезет перед 443 ?
    <...>
    Нет, не лезет.

    Динь, проверяй "TS Gateway Settings" в "RemoteApp Settings".
    20 октября 2009 г. 7:01
    Отвечающий
  • ну к примеру какие  там могут быть еще настройки? давай просто рассмотрим  TSG, пока что  Remote App отложим в сторону.

    Настройки, я  уже даже в скриншотах выложил.
    Если сообщение было информативным, отметьте его как ответ. И нам приятно и сразу видно ответ на вопрос :-)
    20 октября 2009 г. 11:18
  • Ну, и что у тебя с TSG не так?..
    20 октября 2009 г. 16:14
    Отвечающий
  • Ну о том  и речь, какие  еще настройки могут быть, ты мои посты то читал? смотрел как у меня настроено? 


    С TSG - не работает через ISA, вот что  )) 

    Если сообщение было информативным, отметьте его как ответ. И нам приятно и сразу видно ответ на вопрос :-)
    20 октября 2009 г. 17:29
  • Значит так, война TSG и ISA сервера продолжается. Выкинул все сертификаты с SAN, запросы OWA И TSG повесил на разные внешние IP. 
    Переиздал все сертификаты. TS.domain.ru и srv013.int.domain.ru, оба на местном/доменном  CA.

    На TSG сервере:
    Подцепил новый сертификат на  TSG, с  FQDN внутренним (SRV013.int.domain.ru)
    Во вкладке SSL Bridging  выбрал Use ssl bridging  и тип HTTPS - HTTPS

    На ISA сервере
    Запросил новый сертификат на TS.domain.ru , так же импортировал сертификат на SRV013.int.domain.ru . Все сертификаты валидны, работают, не  отозваны
    Создал новое публикующее правило. В настройках:
    -Вкладка To http://pic.ipicture.ru/uploads/091019/FUEI34TtQd.jpg
    -В настройках Listener выбрал сертификат TS.domain.ru http://pic.ipicture.ru/uploads/091019/1gJS9fP3v3.jpg
    -Во вкладке Public Names : ts.domain.ru
    -Вкладка Path: /*
    -Всемогущая  кнопка test rule говорит, что все  настроено, что  лучше не  бывает.

    На внешнем компе:
    -
    Импортировал Root сертификат в Trusted Root certification Authorities
    - Mstsc: В поле Компьютер  пишу  имя FQDN Терминального сервера.
    -Mstsc: В поле Use these RD Gateway server  пишу внешнее имя ts.domain.ru
    При логоне ошибка: The logon attempt failed http://ipicture.ru/uploads/091023/4X2L601i8d.jpg

    В этот же момент на ISA и TSG сервере:
    Нет никаких ошибок.... http://ipicture.ru/uploads/091023/t8795r1a32.jpg
    На TSG посмотрел логи: Application, Security, terminalServices-gateway . Нет отчета от неудавшемся логоне.

    Опять на внешнем клиенте:
    - В браузере захожу по https://ts.domain.ru/RDWeb/
    -Логон происходит под теми же данными, происходит удачно. Попадают во внутрь и могу выбрать  RemoteApp.


    Что-то у меня идеи заканчиваются, куда еще можно посмотреть?



    Если сообщение было информативным, отметьте его как ответ. И нам приятно и сразу видно ответ на вопрос :-)
    23 октября 2009 г. 11:10
  • Оффтоп. А чем хуже RDP over SSL? Потом опубликовать через ису и вроде работает всё.
    23 октября 2009 г. 15:44
  • Оффтоп. А чем хуже RDP over SSL? Потом опубликовать через ису и вроде работает всё.

    Хуже - возможностями. К примеру, опубликовать  4 TS  сервера, а 20 ? A "Remote App" ?

    Если сообщение было информативным, отметьте его как ответ. И нам приятно и сразу видно ответ на вопрос :-)
    23 октября 2009 г. 17:37
  • теперь вопросов нету

    23 октября 2009 г. 17:43
  • 1. Попробуйте соединиться с внешнего клиента на ХР - там будет видно ошибку, по которой не подключается. На Висте и 7ке не будет ошибки, будет сообщение, что попытка неудачна.
    2. Попробуйте внутри сети. Если указывать в качестве шлюз терминалов внутреннее имя - работает? то есть работает ли сам ТСГ без исы? там надо еще убрать галку  "не подключаться через шлюз для локальных адресов".
    27 октября 2009 г. 12:06
  • Евгений, Диня (автор темы) у нас инженер сертифицированный и энтерпрайз админ, так что он там такого накрутил, что ему уже никто, короме него самого уже не поможет. :))
    27 октября 2009 г. 12:10
    Отвечающий
  • офф: Чет я действительно накрутил, ток времени пока нет разбираться... забросил  пока эту идею
    Если сообщение было информативным, отметьте его как ответ. И нам приятно и сразу видно ответ на вопрос :-)
    27 октября 2009 г. 17:03